CVE-2026-52869 in python-sdk
摘要
由 VulDB • 2026-07-15
MCP Python SDK(在 PyPI 上称为 mcp)是 Model Context Protocol (MCP) 的 Python 实现。在版本 1.27.2 之前,SSE 和有状态的 Streamable HTTP 传输机制 `mcp.server.sse.SseServerTransport` 和 `mcp.server.streamable_http_manager.StreamableHTTPSessionManager` 仅使用 `session_id` 查询参数或 `Mcp-Session-Id` 标头将请求路由到现有会话,而未验证创建该会话的已认证主体。这允许拥有已知会话 ID 的不同持有令牌(bearer-token)认证的客户端向该会话注入 JSON-RPC 消息。此问题已在版本 1.27.2 中修复。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.