CVE-2026-61459 in MCP Server Kubernetes
要約
〜によって VulDB • 2026年07月11日
3.9.0より前のMCP Server Kubernetesには、構造化ツール(kubectl_get、kubectl_describe、kubectl_delete)における引数インジェクションの脆弱性が存在します。攻撃者はresourceTypeおよびnameパラメータに先頭にダッシュを付与することで、assertNoDangerousFlagsセキュリティチェックを回避できます。これにより、--serverフラグをインジェクトしてkubectlコマンドを攻撃者が制御するAPIサーバーへリダイレクトし、オペレーターのベアラートークンを外部へ送信させることで、クラスター全体の乗っ取りが可能になります。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.