CVE-2026-61459 in MCP Server Kubernetes
Zusammenfassung
von VulDB • 10.07.2026
Der MCP Server Kubernetes vor Version 3.9.0 enthält eine Argument-Injection-Schwachstelle in strukturierten Tools (kubectl_get, kubectl_describe, kubectl_delete), die es Angreifern ermöglicht, die Sicherheitsüberprüfung assertNoDangerousFlags zu umgehen, indem sie Parameter für resourceType und name mit führenden Bindestrichen übergeben. Angreifer können das Flag --server injizieren, um kubectl-Befehle auf einen von den Angreifern kontrollierten API-Server umzuleiten, wodurch der Bearer-Token des Operators nach außen übertragen wird und eine vollständige Kompromittierung des Clusters ermöglicht wird.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.