JSON-Injection in McpStdioServer.sendProgress() #50

New issue

Open

opened 2026-03-08 18:38:10 +00:00 by automation · 0 comments

automation commented

2026-03-08 18:38:10 +00:00

Collaborator

Problem

McpStdioServer.sendProgress() (Zeile 119-124) baut JSON per String.format():

String progressJson = String.format(
    "{...\"message\":\"%s\"}}",
    message != null ? message.replace("\"", "\\\"") : "");

Nur " wird escaped, aber nicht \n, \t, \r oder Backslashes. Messages mit diesen Zeichen erzeugen invalides JSON.

Fix

Jackson ObjectMapper verwenden statt manueller String-Konstruktion.

Gefunden von

Fowler

## Problem `McpStdioServer.sendProgress()` (Zeile 119-124) baut JSON per `String.format()`: ```java String progressJson = String.format( "{...\"message\":\"%s\"}}", message != null ? message.replace("\"", "\\\"") : ""); ``` Nur `"` wird escaped, aber nicht `\n`, `\t`, `\r` oder Backslashes. Messages mit diesen Zeichen erzeugen invalides JSON. ### Fix Jackson `ObjectMapper` verwenden statt manueller String-Konstruktion. ## Gefunden von Fowler