技術的な説明
mcp-server-kubernetes バージョン 3.6.0 より前では、AI エージェントオペレーターが利用可能なツールセットを制限するためのアクセス制御として文書化されている 3 つの環境変数(ALLOW_ONLY_READONLY_TOOLS、ALLOW_ONLY_NON_DESTRUCTIVE_TOOLS、ALLOWED_TOOLS)が公開されています。しかし、これらの環境変数はオーバーライドまたは回避される可能性があり、エージェントまたは攻撃者が意図されたセーフティ構成に関係なく、Kubernetes クラスター管理ツールセット全体にアクセスできます。つまり、読み取り専用操作に制限された AI エージェントが破壊的なクラスターアクションを実行するように操作される可能性があります。バージョン 3.7.0 より前の付随する脆弱性 CVE-2026-47250(CVSS 6.1)では、kubectl_generic ツール経由の kubectl フラグインジェクションが可能になり、Kubernetes 環境内での権限昇格が可能になります。
攻撃経路
エージェント側またはオペレーター側の環境変数操作により、文書化されたアクセス制御がオーバーライドされます。MCP サーバーは AI エージェントを Kubernetes クラスター API に接続します。セーフティ環境変数の制限が回避されると、エージェントは破壊的または権限昇格操作を含む任意の kubectl コマンドを発行できます。
影響を受けるシステム
Flux159/mcp-server-kubernetes バージョン v3.6.0 より前(CVE-2026-46519)およびバージョン v3.7.0 より前(CVE-2026-47250)。このサーバーは、AI コーディングエージェントと自律エージェントに Kubernetes クラスター管理へのアクセスを提供するために広く使用されている MCP 統合です。
緩和策
mcp-server-kubernetes v3.7.0 にアップグレードします(両方の CVE に対応)。実行中のすべての mcp-server-kubernetes インスタンスの環境変数構成を監査します。MCP サーバーが意図されたエージェントランタイムを超えてアクセス可能にならないようにネットワークレベルのコントロールを適用します。エージェント権限を確認し、MCP サーバー独自のアクセス制御とは独立して、最小権限 Kubernetes RBAC を実装します。