漏洞  ·  2026-07-17

MCP Python SDK — 已弃用的 WebSocket 传输缺乏主机/源验证

漏洞High 影响GlobalCVE-2026-59950
MCP Python SDK 的遗留 WebSocket 传输缺乏任何 SDK 级别的机制来限制哪些源可以建立连接,使本地 MCP 服务器容易受到基于浏览器的跨源攻击。
这是应用于代理工具服务器的经典跨站点 WebSocket 劫持模式 — 恶意网页可以静默连接到并命令本地运行的 MCP 服务器(例如连接到开发者编码代理的服务器),将普通的网页浏览转变为工具调用滥用的途径。
已弃用的 mcp.server.websocket.websocket_server 传输接受 WebSocket 握手而无需验证 Host 或 Origin 标头,这意味着受害者浏览器访问的任何网站都可以打开与本地运行的 MCP 服务器的 WebSocket 连接,并与其交互,就像它是授权的客户端一样。
MCP Python SDK(PyPI 上的 mcp)1.28.1 之前的版本
升级到 MCP Python SDK 1.28.1 或更高版本;避免使用已弃用的 websocket 传输。
NVD CVE-2026-59950
在实时动态中查看 浏览更多 AI 安全与治理相关发现 — 每日清晨更新。
打开动态 →