发布日期：2026-02-04
更新日期：2026-04-13

受影响系统：

Model Context Protocol MCP TypeScript SDK >= 1.10.0 <= 1.25.3

描述：

---

CVE(CAN) ID: CVE-2026-25536

MCP TypeScript SDK是Model Context Protocol开源的一个用于模型上下文协议服务器和客户端的开发者工具包。
MCP TypeScript SDK 1.10.0版本至1.25.3版本存在竞争条件问题漏洞，该漏洞源于复用单个McpServer/Server和传输实例处理多个客户端连接时，未能正确隔离不同客户端的响应数据，攻击者可利用该漏洞建立多个客户端连接，窃取其他客户端本应收到的响应数据，造成跨客户端的数据泄露。

<*链接：https://github.com/modelcontextprotocol/typescript-sdk/security/advisories/GHSA-345p-7cg4-v4c7
*>

建议：

---

厂商补丁：

Model Context Protocol
----------------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/modelcontextprotocol/typescript-sdk/security/advisories/GHSA-345p-7cg4-v4c7

浏览次数：22
严重程度：0（网友投票）