Plataforma
go
Componente
github.com/modelcontextprotocol/go-sdk
Corregido en
1.4.2
1.4.1
La vulnerabilidad CVE-2026-33252 afecta a la biblioteca go-sdk de Model Context Protocol, específicamente su transporte HTTP Streamable. Esta falla de seguridad permite que sitios web maliciosos envíen solicitudes POST entre sitios (XSS) sin la validación adecuada del encabezado Origin y sin requerir Content-Type: application/json. La vulnerabilidad impacta a versiones anteriores a 1.4.1 y puede resultar en la ejecución no autorizada de herramientas en servidores locales.
Un atacante puede explotar esta vulnerabilidad creando un sitio web malicioso que envíe solicitudes POST con Content-Type: text/plain a un servidor vulnerable. Debido a las propiedades de CORS (Cross-Origin Resource Sharing) que permiten el acceso, estas solicitudes pueden llegar al manejo de mensajes de MCP sin validación. Esto podría permitir a un atacante desencadenar la ejecución de herramientas en el servidor, comprometiendo potencialmente la confidencialidad, integridad y disponibilidad de los datos. La falta de autorización o la configuración stateless/sessionless agrava el riesgo, ya que no hay mecanismos de autenticación para prevenir el acceso no autorizado.
Esta vulnerabilidad fue publicada el 19 de marzo de 2026. No se ha reportado explotación activa en entornos de producción, pero la naturaleza de la vulnerabilidad XSS y la facilidad de explotación la convierten en un riesgo potencial. Se recomienda monitorear activamente los sistemas afectados y aplicar las mitigaciones necesarias lo antes posible. No se ha añadido a KEV a la fecha.
Estado del Exploit
EPSS
0.01% (0% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-33252 es actualizar la biblioteca go-sdk a la versión 1.4.1 o superior. Si la actualización no es inmediatamente posible, considere implementar reglas de firewall de aplicaciones web (WAF) para bloquear solicitudes POST con Content-Type: text/plain que no provengan del origen esperado. Además, revise y fortalezca la configuración de CORS para restringir el acceso a los recursos del servidor solo a dominios confiables. Verifique que la autenticación y autorización estén correctamente implementadas para prevenir el acceso no autorizado a las herramientas MCP.
Actualice la versión del SDK de Go MCP a la versión 1.4.1 o superior. Esto corrige la vulnerabilidad de Cross-Site Request Forgery (CSRF) al validar el encabezado `Origin` y requerir `Content-Type: application/json` para las solicitudes HTTP.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33252 is a CSRF vulnerability in the ModelContextProtocol Go SDK affecting versions before 1.4.1. It allows malicious websites to trigger actions via crafted POST requests due to missing Origin header validation, potentially leading to unauthorized tool execution.
You are affected if you are using the ModelContextProtocol Go SDK versions prior to 1.4.1, especially in deployments without authentication or authorization, or those relying solely on CORS.
Upgrade the ModelContextProtocol Go SDK to version 1.4.1 or later. As a temporary workaround, implement a WAF or proxy to filter suspicious Origin headers.
Currently, there are no known public exploits or active campaigns targeting CVE-2026-33252, but the vulnerability remains a potential risk.
Refer to the official ModelContextProtocol advisory for detailed information and updates regarding CVE-2026-33252. (Link to advisory would be placed here if available).
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.