事件经过
3.9.0之前的MCP Server Kubernetes在结构化工具(kubectl_get、kubectl_describe、kubectl_delete)中包含参数注入漏洞,允许攻击者通过提供带前导破折号的resourceType和name参数来绕过assertNoDangerousFlags安全检查,这些参数随后被解释为额外的kubectl命令行标志而非资源标识符。
影响分析
此MCP服务器给予LLM代理对Kubernetes集群的直接kubectl访问权限;通过参数注入绕过危险标志防护让提示注入或恶意代理能够调用任意kubectl标志,可能升级到集群范围命令执行或数据窃取——暴露于LLM代理的集群管理工具中的关键MCP工具表面缺陷。
攻击途径
代理工具调用参数(resourceType、name)以前导破折号为前缀被传递给kubectl并被解释为命令行标志,绕过assertNoDangerousFlags检查
受影响系统
MCP Server Kubernetes < 3.9.0
缓解措施
升级到MCP Server Kubernetes ≥3.9.0