Maciej-Kisiel

**Name of the Vulnerable Software and Affected Versions** Go MCP SDK versões anteriores a 1.4.0 **Description** O Go MCP SDK, utilizando encoding/json padrão do Go, não habilitava a proteção contra DNS rebinding por padrão para servidores baseados em HTTP antes da versão 1.4.0. Quando um servidor MCP baseado em HTTP era executado em localhost sem autenticação usando `StreamableHTTPHandler` ou `SSEHandler`, um site malicioso poderia explorar o DNS rebinding para ignorar as restrições de política de mesma origem e enviar solicitações para o servidor MCP local. Isso poderia permitir que um invasor invocasse ferramentas ou acessasse recursos expostos pelo servidor MCP em nome do usuário. **Recommendations** Atualize para a versão 1.4.0 ou posterior.