CVE-2026-25905 – Lack of isolation in mcp-run-python leads to MCP server takeover

CVE ID : CVE-2026-25905

Published : Feb. 9, 2026, 9:01 a.m. | 18 minutes ago

Description : The Python code being run by ‘runPython’ or ‘runPythonAsync’ is not isolated from the rest of the JS code, allowing any Python code to use the Pyodide APIs to modify the JS environment. This may result in an attacker hijacking the MCP server – for malicious purposes including MCP tool shadowing. Note – the “mcp-run-python” project is archived and unlikely to receive a fix.

Severity: 5.8 | MEDIUM

Visit the link for more details, such as CVSS details, affected products, timeline, and more…

CVE-2026-25905 – Lack of isolation in mcp-run-python leads to MCP server takeover

تکمیل ظرفیت سرور لهستان

سرور مناسب برای ترید و ارز دیجیتال

دیتاسنتر جدید در لهستان

سرور های جدید از اسپانیا

AMD EPYC & Ryzen از کشور انگلستان

آفر های جدید AMD EPYC و AMD Ryzen

آفر سرور اختصاصی از آمریکا

افزایش قیمت دامنه های ir از ۳۱ خرداد

افزایش قیمت جهانی دامنه .com

آفر های جدید سرور اختصاصی مرداد 1403

CVE-2026-23903 – Apache Shiro: Auth bypass when accessing static files only on case-insensitive filesystems

سرور های جدید از روسیه-وارز

تخفیف ویژه دامنه .ASIA

ثبت دامنه .IO

انتقال رایگان پسوند دامنه PW

Kerio Control 9.2.4 Build 2223

نوشته های مشابه

CVE-2026-25848 – JetBrains Hub Authentication Bypass Vulnerability

CVE-2026-25847 – JetBrains PyCharm DOM-based XSS Vulnerability

CVE-2026-25846 – JetBrains YouTrack Mailbox Token Exposure Vulnerability

CVE-2026-22922 – Apache Airflow: Airflow externalLogUrl Permission Bypass