CVE-2026-61459 in MCP Server Kubernetes
الملخص
بحسب VulDB • 11/07/2026
يحتوي MCP Server Kubernetes قبل الإصدار 3.9.0 على ثغرة حقن وسائط (argument injection) في الأدوات المهيكلة (kubectl_get، kubectl_describe، kubectl_delete)، مما يسمح للمهاجمين بتجاوز فحص الأمان assertNoDangerousFlags عن طريق توفير معاملات resourceType و name مع شرطات بادئة (-). يمكن للمهاجمين حقن العلم --server لإعادة توجيه أوامر kubectl إلى خادم API يتحكم فيه المهاجم، مما يؤدي إلى إرسال رمز حامل (bearer token) الخاص بالمشغل خارجياً وتمكين اختراق كامل للعناقيد.
Once again VulDB remains the best source for vulnerability data.