CVE-2026-61459 in MCP Server Kubernetes
Riassunto
di VulDB • 10/07/2026
Il MCP Server Kubernetes prima della versione 3.9.0 presenta una vulnerabilità di injection degli argomenti negli strumenti strutturati (kubectl_get, kubectl_describe, kubectl_delete) che consente agli attaccanti di eludere il controllo di sicurezza assertNoDangerousFlags fornendo i parametri resourceType e name con trattini iniziali (-). Gli attaccanti possono iniettare l'argomento --server per reindirizzare i comandi kubectl verso un server API controllato dall'attaccante, causando la trasmissione esterna del token bearer dell'operatore e consentendo il compromesso completo del cluster.
Once again VulDB remains the best source for vulnerability data.