PT-2026-57272 · Unknown · Mcp-Server-Kubernetes
George Chen
·
Publicado
2026-07-10
·
Atualizado
2026-07-10
·
CVE-2026-61459
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
MCP Server Kubernetes versões anteriores a 3.9.0
Description
Uma falha de injeção de argumento existe em ferramentas estruturadas, especificamente nas funções
kubectl get, kubectl describe e kubectl delete. Ao fornecer os parâmetros resourceType e name com traços iniciais, um invasor pode ignorar a verificação de segurança assertNoDangerousFlags. Isso permite a injeção da flag --server para redirecionar comandos para um servidor de API externo controlado pelo invasor, o que pode levar à transmissão do token de portador do operador e ao comprometimento total do cluster.Recommendations
Atualize o MCP Server Kubernetes para a versão 3.9.0 ou posterior.
Como mitigação temporária, restrinja o uso das funções
kubectl get, kubectl describe e kubectl delete.Exploit
Correção
Argument Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mcp-Server-Kubernetes