anonhaven

CVE-2026-39884

HIGH CVSS 3.1: 8,3
Обновлено 17 апреля 2026
Kubernetes
Параметр Значение
CVSS 8,3 (HIGH)
Устранено в версии 3.5.0
Тип уязвимости CWE-88
Поставщик Kubernetes
Публичный эксплойт Нет

mcp-server-kubernetes — это сервер протокола контекста модели для управления кластером Kubernetes. Версии 3.4.0 и более ранние содержат уязвимость внедрения аргументов в инструменте port_forward в src/tools/port_forward.ts, где команда kubectl создается посредством конкатенации строк с вводом, управляемым пользователем, а затем наивно разбивается на пробелы перед передачей в spawn(). В отличие от всех других инструментов в кодовой базе, которые правильно используют передачу аргументов на основе массива с помощью execFileSync(), port_forward рассматривает каждое пространство в контролируемых пользователем полях (namespace, resourcesType, resourcesName, localPort, targetPort) как границу аргумента, позволяя злоумышленнику вводить произвольные флаги kubectl.

Это позволяет предоставлять доступ к сети внутренним сервисам Kubernetes путем внедрения --address=0.0.0.0, нацеливания на перекрестное пространство имен путем внедрения дополнительных флагов -n и непрямой эксплуатации посредством быстрого внедрения против агентов AI, подключенных к серверу MCP. Эта проблема исправлена ​​в версии 3.5.0.

Показать оригинальное описание (EN)

mcp-server-kubernetes is a Model Context Protocol server for Kubernetes cluster management. Versions 3.4.0 and prior contain an argument injection vulnerability in the port_forward tool in src/tools/port_forward.ts, where a kubectl command is constructed via string concatenation with user-controlled input and then naively split on spaces before being passed to spawn(). Unlike all other tools in the codebase which correctly use array-based argument passing with execFileSync(), port_forward treats every space in user-controlled fields (namespace, resourceType, resourceName, localPort, targetPort) as an argument boundary, allowing an attacker to inject arbitrary kubectl flags. This enables exposure of internal Kubernetes services to the network by injecting --address=0.0.0.0, cross-namespace targeting by injecting additional -n flags, and indirect exploitation via prompt injection against AI agents connected to the MCP server. This issue has been fixed in version 3.5.0.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Низкое
Частичное нарушение работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-88

Ссылки 2

https://github.com/Flux159/mcp-server-kubernetes/releases/tag/v3.5.0
security-advisories@github.com
https://github.com/Flux159/mcp-server-kubernetes/security/advisories/GHSA-4xqg-…
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-40090

Kubernetes

7,1

CVE-2026-34984

Kubernetes

7,1

CVE-2026-5483

Kubernetes

8,5

CVE-2026-35206

Helm

4,8

CVE-2026-39961

Kubernetes

6,8