CVE-2026-27896

The Go MCP SDK used Go's standard encoding/json.Unmarshal for JSON-RPC and MCP protocol message parsing in versions prior to 1.3.1. Go's standard library performs case-insensitive matching of JSON keys to struct field tags — a field tagged json:"method" would also match "Method", "METHOD", etc. This violated the JSON-RPC 2.0 specification, which defines exact field names. A malicious MCP peer may have been able to send protocol messages with non-standard field casing that the SDK would silently accept. This had the potential for bypassing intermediary inspection and coss-implementation inconsistency. Go's standard JSON unmarshaling was replaced with a case-sensitive decoder in commit 7b8d81c. Users are advised to update to v1.3.1 to resolve this issue.

CVSS v3 7.5 HIGH

7.5^/10

CVSS v3 : HIGH

V3 Legend

Vector :

Exploitability : 3.9 / Impact : 3.6

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact NONE

Integrity Impact HIGH

Availability Impact NONE

Scope UNCHANGED

References

Link	Resource
https://github.com/modelcontextprotocol/go-sdk/commit/7b8d81c264074404abdf5aa16e2cf0c2d9c64cc0	Patch
https://github.com/modelcontextprotocol/go-sdk/security/advisories/GHSA-wvj2-96wp-fq3f	Patch Vendor Advisory

Configurations

Configuration 1 (hide)

cpe:2.3:a:lfprojects:mcp_go_sdk:*:*:*:*:*:*:*:*

History

14 Apr 2026, 00:40

Type	Values Removed	Values Added
Summary		(es) El SDK de Go MCP utilizaba la función estándar `encoding/json.Unmarshal` de Go para el análisis de mensajes del protocolo JSON-RPC y MCP en versiones anteriores a la 1.3.1. La biblioteca estándar de Go realiza una coincidencia que no distingue entre mayúsculas y minúsculas de las claves JSON con las etiquetas de campo de las estructuras — un campo etiquetado como json:'method' también coincidiría con 'Method', 'METHOD', etc. Esto violaba la especificación JSON-RPC 2.0, que define nombres de campo exactos. Un par MCP malicioso podría haber sido capaz de enviar mensajes de protocolo con un uso de mayúsculas y minúsculas no estándar en los campos que el SDK aceptaría silenciosamente. Esto tenía el potencial de eludir la inspección intermedia y la inconsistencia entre implementaciones. El desenmascaramiento JSON estándar de Go fue reemplazado por un decodificador que distingue entre mayúsculas y minúsculas en el commit 7b8d81c. Se aconseja a los usuarios actualizar a la versión 1.3.1 para resolver este problema.
CVSS	v2 : ~~unknown~~ v3 : ~~unknown~~	v2 : unknown v3 : 7.5
First Time		Lfprojects Lfprojects mcp Go Sdk
References	~~() https://github.com/modelcontextprotocol/go-sdk/commit/7b8d81c264074404abdf5aa16e2cf0c2d9c64cc0 -~~	() https://github.com/modelcontextprotocol/go-sdk/commit/7b8d81c264074404abdf5aa16e2cf0c2d9c64cc0 - Patch
References	~~() https://github.com/modelcontextprotocol/go-sdk/security/advisories/GHSA-wvj2-96wp-fq3f -~~	() https://github.com/modelcontextprotocol/go-sdk/security/advisories/GHSA-wvj2-96wp-fq3f - Patch, Vendor Advisory
CPE		cpe:2.3:a:lfprojects:mcp_go_sdk::::::::

26 Feb 2026, 01:16

Type	Values Removed	Values Added
New CVE

Information

Published : 2026-02-26 01:16

Updated : 2026-04-14 00:40

NVD link : CVE-2026-27896

Mitre link : CVE-2026-27896

CVE.ORG link : CVE-2026-27896

JSON object : View

Products Affected

lfprojects

mcp_go_sdk

CWE

CWE-178

Improper Handling of Case Sensitivity

CWE-436

Interpretation Conflict

7.5 /10