MCP Ruby SDK — это официальный Ruby SDK для серверов и клиентов протокола контекста модели. До версии 0.9.2 реализацияstreamable_http_transport.rb Ruby SDK содержала уязвимость перехвата сеанса. Злоумышленник, получивший действительный идентификатор сеанса, может полностью перехватить поток событий, отправленных сервером (SSE) жертвы, и перехватить все данные в реальном времени.
Версия 0.9.2 содержит патч.
Показать оригинальное описание (EN)
MCP Ruby SDK is the official Ruby SDK for Model Context Protocol servers and clients. Prior to version 0.9.2, the Ruby SDK's streamable_http_transport.rb implementation contains a session hijacking vulnerability. An attacker who obtains a valid session ID can completely hijack the victim's Server-Sent Events (SSE) stream and intercept all real-time data. Version 0.9.2 contains a patch.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Lfprojects Mcp_Ruby_Sdk
cpe:2.3:a:lfprojects:mcp_ruby_sdk:*:*:*:*:*:*:*:*
|
— |
0.9.2
|