JVNDB-2025-026217

lfprojectsのMCP Python SDKにおけるリソースの安全ではないデフォルト値への初期化に関する脆弱性

MCP Python SDK（PyPIで `mcp` と呼ばれる）は、Model Context Protocol（MCP）のPython実装です。バージョン1.23.0以前では、Model Context Protocol（MCP）Python SDKはHTTPベースのサーバーに対してデフォルトでDNSリバインディング保護を有効にしていませんでした。FastMCPを使用し、認証なしでストリーミング可能なHTTPまたはSSEトランスポートでlocalhost上にHTTPベースのMCPサーバーが実行され、TransportSecuritySettingsが設定されていない場合、悪意のあるウェブサイトがDNSリバインディングを悪用して同一生成元ポリシーの制限を回避し、ローカルのMCPサーバーにリクエストを送信する可能性があります。これにより、限定的な状況下で攻撃者がユーザーに代わってMCPサーバーが公開するツールやリソースを呼び出すことが可能になります。認証なしでHTTPベースのMCPサーバーをローカルで実行することは、MCPセキュリティのベストプラクティスに反しており、推奨できません。この問題はstdioトランスポートを使用するサーバーには影響しません。この脆弱性はバージョン1.23.0で修正されています。

lfprojects

• MCP Python SDK 1.23.0 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : DNS Rebinding Protection Disabled by Default in Model Context Protocol Python SDK for Servers Running on Localhost  Advisory  modelcontextprotocol/python-sdk  GitHub

1. リソースの安全ではないデフォルト値への初期化(CWE-1188) [その他]

1. CVE-2025-66416

1. National Vulnerability Database (NVD) : CVE-2025-66416
2. 関連文書 : Merge commit from fork  modelcontextprotocol/python-sdk@d3a1841  GitHub

• [2026年03月12日]
    掲載