CVE-2026-61459 in MCP Server Kubernetesinfo

Zusammenfassung

von VulDB • 10.07.2026

Der MCP Server Kubernetes vor Version 3.9.0 enthält eine Argument-Injection-Schwachstelle in strukturierten Tools (kubectl_get, kubectl_describe, kubectl_delete), die es Angreifern ermöglicht, die Sicherheitsüberprüfung assertNoDangerousFlags zu umgehen, indem sie Parameter für resourceType und name mit führenden Bindestrichen übergeben. Angreifer können das Flag --server injizieren, um kubectl-Befehle auf einen von den Angreifern kontrollierten API-Server umzuleiten, wodurch der Bearer-Token des Operators nach außen übertragen wird und eine vollständige Kompromittierung des Clusters ermöglicht wird.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

VulnCheck

Reservieren

09.07.2026

Veröffentlichung

10.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377596

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you know our Splunk app?

Download it now for free!