Поддержать Telegram

CVE-2025-69902

CRITICAL CVSS 3.1: 9,8 EPSS 0.35%

16 марта 2026

Обновлено 17 марта 2026

Параметр	Значение
CVSS	9,8 (CRITICAL)
Тип уязвимости	CWE-94 (Внедрение кода)
Публичный эксплойт	Нет

Уязвимость внедрения команд в компоненте минимального_wrapper.py kubectl-mcp-server v1.2.0 позволяет злоумышленникам выполнять произвольные команды путем внедрения произвольных метасимволов оболочки.

Показать оригинальное описание (EN)

A command injection vulnerability in the minimal_wrapper.py component of kubectl-mcp-server v1.2.0 allows attackers to execute arbitrary commands via injecting arbitrary shell metacharacters.

Характеристики атаки

Способ атаки

По сети

Атака возможна удалённо

Сложность

Низкая

Легко эксплуатировать

Нужны права

Не требуются

Права не нужны

Участие пользователя

Не требуется

Не нужно действие пользователя

Последствия

Конфиденциальность

Высокое

Полная утечка данных

Целостность

Высокое

Полная модификация данных

Доступность

Высокое

Полный отказ в обслуживании

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-94 Code Injection (Внедрение кода)

Ссылки 4

https://asec.ahnlab.com/ko/92922/

https://github.com/rohitg00/kubectl-mcp-server

https://github.com/rohitg00/kubectl-mcp-server/blob/main/kubectl_mcp_tool/minim…

https://pypi.org/project/kubectl-mcp-tool

Share Post Share Share Share

Сводка

CVE ID

CVE-2025-69902

Опубликовано

16 марта, 2026

Поставщик

Не определён

Уровень угрозы

CRITICAL

CVSS v3.1 Оценка

9,8

Критическая. Необходимо устранить как можно скорее.

Оценка угрозы

Простота эксплуатации 3,9/10

Насколько легко использовать уязвимость

Ущерб 5,9/10

Возможный ущерб при атаке

Вероятность атаки (EPSS)

Шанс использования 0.35%

Вероятность использования в ближайшие 30 дней

Уровень риска: Опаснее 57.6% всех уязвимостей

Стандартный цикл обновлений

Ущерб

Полная утечка данных

Полная модификация данных

Отказ в обслуживании

Ссылка

Перейти к источнику

Выбор редакции