CVE-2026-52869 in python-sdkИнформация

Сводка

по VulDB • 15.07.2026

Python SDK для MCP, доступный под именем mcp в PyPI, представляет собой реализацию на Python протокола Model Context Protocol (MCP). До версии 1.27.2 транспорты SSE и stateful Streamable HTTP — `mcp.server.sse.SseServerTransport` и `mcp.server.streamable_http_manager.StreamableHTTPSessionManager` — перенаправляли запросы к существующим сессиям, используя только параметр запроса session_id или заголовок Mcp-Session-Id, без проверки аутентифицированного субъекта (principal), создавшего сессию. Это позволяло другому клиенту, прошедшему аутентификацию по bearer-token и знающему идентификатор сессии, внедрять сообщения JSON-RPC в эту сессию. Проблема исправлена в версии 1.27.2.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Ответственный

GitHub M

Резервировать

08.06.2026

Раскрытие

15.07.2026

Модерация

принято

Вход

VDB-379398

EPSS

0.00000

KEV

Нет

Деятельности

Очень низкий

Источники

Do you need the next level of professionalism?

Upgrade your account now!