Penjelasan teknis
mcp-server-kubernetes sebelum versi 3.6.0 mengekspos tiga variabel lingkungan (ALLOW_ONLY_READONLY_TOOLS, ALLOW_ONLY_NON_DESTRUCTIVE_TOOLS, ALLOWED_TOOLS) yang didokumentasikan sebagai kontrol akses untuk membatasi set alat yang tersedia untuk operator agen AI. Namun, variabel lingkungan ini dapat ditimpa atau dilewati, memungkinkan agen atau penyerang untuk mengakses set alat manajemen kluster Kubernetes lengkap terlepas dari konfigurasi keamanan yang dimaksudkan. Ini berarti agen AI yang dibatasi untuk operasi baca-saja dapat dibuat untuk melakukan tindakan kluster yang merusak. Kerentanan pendamping CVE-2026-47250 (CVSS 6.1) dalam versi sebelum 3.7.0 memungkinkan injeksi flag kubectl melalui alat kubectl_generic, memungkinkan eskalasi hak istimewa dalam lingkungan Kubernetes.
Vektor serangan
Manipulasi variabel lingkungan di sisi agen atau sisi operator mengganti kontrol akses yang didokumentasikan. Server MCP menghubungkan agen AI ke API kluster Kubernetes; setelah pembatasan variabel lingkungan keamanan dilewati, agen dapat mengeluarkan perintah kubectl arbitrer termasuk operasi yang merusak atau meningkatkan hak istimewa.
Sistem yang terdampak
Flux159/mcp-server-kubernetes versi sebelum v3.6.0 (CVE-2026-46519) dan sebelum v3.7.0 (CVE-2026-47250). Server adalah integrasi MCP yang banyak digunakan untuk memberikan agen coding AI dan agen otonomi akses ke manajemen kluster Kubernetes.
Mitigasi
Tingkatkan ke mcp-server-kubernetes v3.7.0 (mengatasi kedua CVE). Audit semua instans mcp-server-kubernetes yang berjalan untuk konfigurasi variabel lingkungan. Terapkan kontrol tingkat jaringan agar server MCP tidak dapat diakses di luar runtime agen yang dimaksud. Tinjau izin agen dan terapkan RBAC Kubernetes privilege-least secara independen dari kontrol akses server MCP itu sendiri.