CVE-2025-53355

Nome do Software Vulnerável e Versões Afetadas: Versões do MCP Server Kubernetes anteriores a 2.5.0

Descrição: O MCP Server Kubernetes é vulnerável a um problema de injeção de comando devido ao uso não sanitizado de parâmetros de entrada dentro de uma chamada para child process.execSync. Isso permite que um atacante injete comandos arbitrários do sistema, potencialmente levando à execução remota de código com os privilégios do processo do servidor. A vulnerabilidade existe porque o servidor constrói e executa comandos do shell usando entrada do usuário não validada diretamente dentro de strings de linha de comando, introduzindo a possibilidade de injeção de metacaracteres do shell. A vulnerabilidade pode ser explorada através de injeção indireta de prompt via logs de pods ou criando diretamente entrada maliciosa para a ferramenta kubectl scale.

Recomendações: Versões do MCP Server Kubernetes anteriores a 2.5.0: Atualize para a versão 2.5.0 ou posterior para resolver esta vulnerabilidade. Como solução temporária, evite usar child process.execSync com entrada não confiável. Considere usar child process.execFileSync em vez disso, o que permite passar argumentos como um array separado, evitando a interpretação do shell.