CVE-2026-34742

Name of the Vulnerable Software and Affected Versions Go MCP SDK versões anteriores a 1.4.0

Description O Go MCP SDK, utilizando encoding/json padrão do Go, não habilitava a proteção contra DNS rebinding por padrão para servidores baseados em HTTP antes da versão 1.4.0. Quando um servidor MCP baseado em HTTP era executado em localhost sem autenticação usando StreamableHTTPHandler ou SSEHandler, um site malicioso poderia explorar o DNS rebinding para ignorar as restrições de política de mesma origem e enviar solicitações para o servidor MCP local. Isso poderia permitir que um invasor invocasse ferramentas ou acessasse recursos expostos pelo servidor MCP em nome do usuário.

Recommendations Atualize para a versão 1.4.0 ou posterior.