В Банке данных угроз (BDU) зарегистрирована новая серьезная уязвимость в популярной библиотеке для разработчиков. Речь идет об ошибке в функции "json.Unmarshal()" реализации протокола JSON-RPC в MCP (Model Context Protocol) Go SDK. Данная библиотека широко используется для создания серверов, взаимодействующих по протоколу JSON-RPC. Уязвимость, получившая идентификаторы BDU:2026-02402 и CVE-2026-27896, связана с некорректной обработкой регистрозависимых данных (CWE-178).
Детали уязвимости
Эксплуатация этой ошибки позволяет удаленному злоумышленнику обойти существующие механизмы безопасности, отправляя специально сформированные запросы. По сути, атакующий может манипулировать структурой данных, что потенциально ведет к выполнению произвольного кода или получению несанкционированного доступа к системе. Производитель, сообщество свободного программного обеспечения, уже подтвердил наличие проблемы.
Уязвимость затрагивает все версии MCP Go SDK до 1.4.0. Хотя операционные системы и аппаратные платформы уточняются, сам факт использования этой библиотеки в проекте создает значительный риск. Оценка по системе CVSS подчеркивает высокую степень опасности. Базовая оценка CVSS 3.1 достигает максимального значения 10.0, что классифицирует уязвимость как критическую. Это указывает на возможность удаленной эксплуатации без аутентификации, с полным воздействием на конфиденциальность и целостность данных.
При этом важно отметить, что, согласно данным BDU, эксплойт для этой уязвимости уже существует в открытом доступе. Следовательно, угроза является не теоретической, а вполне реальной и актуальной. Злоумышленники могут активно сканировать сеть в поисках сервисов, использующих устаревшие версии SDK, для последующей атаки.
К счастью, способ устранения уязвимости уже известен. Разработчики выпустили патч, и проблема устранена в актуальных версиях. Основной мерой защиты является немедленное обновление MCP Go SDK до версии 1.4.0 или выше. Соответствующий исправляющий коммит доступен в публичном репозитории GitHub. Однако в рекомендациях BDU содержится важное предостережение, связанное с текущей геополитической обстановкой. В связи с санкциями рекомендуется устанавливать обновления только после тщательной оценки всех сопутствующих рисков и из доверенных источников.
Если немедленное обновление невозможно, специалисты по кибербезопасности предлагают ряд компенсирующих мер. Например, эффективно использование межсетевых экранов для строгого ограничения удаленного доступа к уязвимому программному обеспечению. Дополнительно, сегментирование сети может помочь изолировать потенциально скомпрометированные сегменты. Также рекомендуется задействовать системы обнаружения и предотвращения вторжений (IDS/IPS) для выявления и блокировки попыток эксплуатации этой конкретной уязвимости. В целом, следует минимизировать или полностью исключить доступ к таким сервисам из внешних сетей, включая Интернет.
Для команд, отвечающих за безопасность (SOC), критически важно добавить сигнатуры, связанные с CVE-2026-27896, в мониторинг. Анализ логов на предмет аномальных запросов к JSON-RPC эндпоинтам может помочь в раннем обнаружении инцидента. Таким образом, оперативное применение заплатки остается самым надежным решением. Разработчикам, использующим этот SDK в своих проектах, необходимо как можно скорее провести аудит зависимостей и применить исправление, чтобы закрыть опасный вектор для удаленной атаки.
Ссылки
- https://bdu.fstec.ru/vul/2026-02402
- https://www.cve.org/CVERecord?id=CVE-2026-27896
- https://github.com/modelcontextprotocol/go-sdk/commit/7b8d81c264074404abdf5aa16e2cf0c2d9c64cc0
- https://github.com/modelcontextprotocol/go-sdk/issues/805
