PT-2026-57272 · Unknown · Mcp-Server-Kubernetes

George Chen

·

Publicado

2026-07-10

·

Atualizado

2026-07-10

·

CVE-2026-61459

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas MCP Server Kubernetes versões anteriores a 3.9.0
Description Uma falha de injeção de argumento existe em ferramentas estruturadas, especificamente nas funções kubectl get, kubectl describe e kubectl delete. Ao fornecer os parâmetros resourceType e name com traços iniciais, um invasor pode ignorar a verificação de segurança assertNoDangerousFlags. Isso permite a injeção da flag --server para redirecionar comandos para um servidor de API externo controlado pelo invasor, o que pode levar à transmissão do token de portador do operador e ao comprometimento total do cluster.
Recommendations Atualize o MCP Server Kubernetes para a versão 3.9.0 ou posterior. Como mitigação temporária, restrinja o uso das funções kubectl get, kubectl describe e kubectl delete.

Exploit

Correção

Argument Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-61459

Produtos afetados

Mcp-Server-Kubernetes