https://blog.qife122.com/tags/python-sdk/ Recent content in Python-SDK on 办公AI智能小助手 Hugo zh-cn qife Wed, 10 Dec 2025 10:52:53 +0800 https://blog.qife122.com/p/%E6%A8%A1%E5%9E%8B%E4%B8%8A%E4%B8%8B%E6%96%87%E5%8D%8F%E8%AE%AEpython-sdk%E5%AD%98%E5%9C%A8%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9E%E9%BB%98%E8%AE%A4%E6%9C%AA%E5%90%AF%E7%94%A8dns%E9%87%8D%E7%BB%91%E5%AE%9A%E9%98%B2%E6%8A%A4/ Wed, 10 Dec 2025 10:52:53 +0800 https://blog.qife122.com/p/%E6%A8%A1%E5%9E%8B%E4%B8%8A%E4%B8%8B%E6%96%87%E5%8D%8F%E8%AE%AEpython-sdk%E5%AD%98%E5%9C%A8%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9E%E9%BB%98%E8%AE%A4%E6%9C%AA%E5%90%AF%E7%94%A8dns%E9%87%8D%E7%BB%91%E5%AE%9A%E9%98%B2%E6%8A%A4/ <h1 id="model-context-protocol-mcp-python-sdk-默认未启用-dns-重绑定保护--cve-2025-66416">Model Context Protocol (MCP) Python SDK 默认未启用 DNS 重绑定保护 · CVE-2025-66416</h1> <h2 id="漏洞详情">漏洞详情</h2> <h3 id="受影响的软件包">受影响的软件包</h3> <p><strong>包管理器:</strong> pip <strong>包名称:</strong> mcp (pip)</p> <h3 id="受影响版本">受影响版本</h3> <p>小于 1.23.0 的所有版本</p> <h3 id="已修复版本">已修复版本</h3> <p>1.23.0</p> <h2 id="漏洞描述">漏洞描述</h2> <p>Model Context Protocol (MCP) Python SDK 在默认情况下未为基于 HTTP 的服务器启用 DNS 重绑定保护。当使用 FastMCP 配合流式 HTTP 或 SSE 传输在本地主机（localhost）上运行一个未经身份验证的基于 HTTP 的 MCP 服务器，并且未配置 <code>TransportSecuritySettings</code> 时，恶意网站可能利用 DNS 重绑定攻击绕过同源策略限制，向本地 MCP 服务器发送请求。这可能导致攻击者在这些特定情况下，能够代表用户调用 MCP 服务器暴露的工具或访问资源。</p>