CVE-2026-25905

Nome do Software Vulnerável e Versões Afetadas MCP (versões afetadas não especificadas)

Descrição O código Python executado pelas funções 'runPython' ou 'runPythonAsync' não possui isolamento em relação a outro código JavaScript. Isso permite que o código Python utilize APIs do Pyodide para alterar o ambiente JavaScript. Um atacante poderia potencialmente sequestrar o servidor MCP, incluindo a realização de ofuscação de ferramentas MCP, para fins maliciosos. O projeto 'mcp-run-python' está arquivado e é improvável que receba uma correção.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.