CVE-2026-27896

Nome do Software Vulnerável e Versões Afetadas Versões do Go MCP SDK anteriores à 1.3.1

Descrição O Go MCP SDK utilizava o encoding/json.Unmarshal padrão do Go para análise de mensagens de protocolo JSON-RPC e MCP. A biblioteca padrão do Go realiza correspondência não sensível a maiúsculas e minúsculas entre chaves JSON e tags de campos de structs, o que significa que um campo marcado com json:"method" também corresponderia a "Method", "METHOD", etc. Também converte caracteres Unicode para seus equivalentes ASCII, como 'ſ' (U+017F) para 's' e 'K' (U+212A) para 'k'. Esse comportamento viola a especificação JSON-RPC 2.0, que exige nomes de campos exatos. Um parceiro MCP malicioso poderia enviar mensagens de protocolo com diferentes formatações de maiúsculas e minúsculas dos campos que o SDK aceitaria silenciosamente, possivelmente contornando inspeções intermediárias e causando inconsistências entre implementações. Este problema afeta a análise de mensagens de protocolo JSON-RPC e MCP.

Recomendações Atualize o Go MCP SDK para a versão 1.3.1 para resolver este problema.