何が起きたか
MCP Server Kubernetes 3.9.0 より前には、構造化ツール (kubectl_get、kubectl_describe、kubectl_delete) に引数インジェクション脆弱性が含まれており、攻撃者は assertNoDangerousFlags セキュリティ チェックをバイパスできます。resourceType および name パラメータに先頭のダッシュを指定すると、リソース識別子ではなく追加の kubectl コマンドライン フラグとして解釈されるため、バイパスできます。
なぜ重要か
この MCP サーバーは LLM エージェントに Kubernetes クラスタへの直接 kubectl アクセスを提供します。引数インジェクション経由の危険フラグ ガードレールのバイパスにより、プロンプト インジェクションまたは悪意のあるエージェントが任意の kubectl フラグを呼び出すことができ、潜在的にクラスタ全体のコマンド実行またはデータ抜き取りにエスカレートできます。これは LLM エージェントに公開されるクラスタ管理ツール内の重大な MCP ツール サーフェス欠陥です。
攻撃経路
エージェント ツール呼び出しパラメータ (resourceType、name) の先頭にダッシュがあり、kubectl に渡されてコマンドラインフラグとして解釈され、assertNoDangerousFlags チェックをバイパスします。
影響を受けるシステム
MCP Server Kubernetes < 3.9.0
緩和策
MCP Server Kubernetes ≥3.9.0 にアップグレードします。