기술 설명
버전 3.6.0 이전의 mcp-server-kubernetes는 세 가지 환경 변수(ALLOW_ONLY_READONLY_TOOLS, ALLOW_ONLY_NON_DESTRUCTIVE_TOOLS, ALLOWED_TOOLS)를 노출하며, 이는 AI 에이전트 운영자가 사용할 수 있는 도구 집합을 제한하기 위한 접근 제어로 문서화되어 있습니다. 그러나 이러한 환경 변수는 재정의되거나 우회될 수 있어, 에이전트 또는 공격자가 의도된 보안 설정과 관계없이 전체 Kubernetes 클러스터 관리 도구 집합에 접근할 수 있습니다. 이는 읽기 전용 작업으로 제한된 AI 에이전트가 파괴적인 클러스터 작업을 수행하도록 만들어질 수 있음을 의미합니다. 버전 3.7.0 이전의 동반 취약점 CVE-2026-47250(CVSS 6.1)은 kubectl_generic 도구를 통한 kubectl 플래그 주입을 허용하여 Kubernetes 환경 내에서 권한 상승을 가능하게 합니다.
공격 경로
에이전트 측 또는 운영자 측 환경 변수 조작이 문서화된 접근 제어를 재정의합니다. MCP 서버는 AI 에이전트를 Kubernetes 클러스터 API에 연결하며, 보안 환경 변수 제한이 우회되면 에이전트는 파괴적이거나 권한 상승을 일으키는 작업을 포함한 임의의 kubectl 명령을 발행할 수 있습니다.
영향받는 시스템
v3.6.0 이전(CVE-2026-46519) 및 v3.7.0 이전(CVE-2026-47250)의 Flux159/mcp-server-kubernetes 버전. 이 서버는 AI 코딩 에이전트 및 자율 에이전트에게 Kubernetes 클러스터 관리 접근 권한을 부여하기 위한 널리 사용되는 MCP 통합입니다.
완화 방안
mcp-server-kubernetes v3.7.0로 업그레이드하십시오(두 CVE 모두 해결). 실행 중인 모든 mcp-server-kubernetes 인스턴스에 대해 환경 변수 구성을 감시하십시오. MCP 서버가 의도된 에이전트 런타임을 벗어나 접근 가능하지 않도록 네트워크 수준의 제어를 적용하십시오. 에이전트 권한을 검토하고 MCP 서버 자체 접근 제어와 독립적으로 최소 권한 Kubernetes RBAC를 강제하십시오.