技术说明
mcp-server-kubernetes 3.6.0版本之前的版本公开了三个环境变量(ALLOW_ONLY_READONLY_TOOLS、ALLOW_ONLY_NON_DESTRUCTIVE_TOOLS、ALLOWED_TOOLS),这些变量被记录为用于限制可供AI代理操作员使用的工具集的访问控制。但是,这些环境变量可被覆盖或绕过,使代理或攻击者能够访问完整的Kubernetes集群管理工具集,无论预期的安全配置如何。这意味着限制为仅读操作的AI代理可能被强制执行破坏性的集群操作。伴随的漏洞CVE-2026-47250(CVSS 6.1)存在于3.7.0版本之前,允许通过kubectl_generic工具进行kubectl标志注入,在Kubernetes环境中实现权限提升。
攻击途径
代理端或操作员端的环境变量操纵绕过了记录在案的访问控制。MCP服务器连接AI代理到Kubernetes集群API;一旦安全环境变量限制被绕过,代理就可以发出任意kubectl命令,包括破坏性或权限提升操作。
受影响系统
Flux159/mcp-server-kubernetes 3.6.0版本之前(CVE-2026-46519)和3.7.0版本之前(CVE-2026-47250)。该服务器是一个广泛使用的MCP集成,用于为AI编码代理和自主代理提供Kubernetes集群管理访问权限。
缓解措施
升级到mcp-server-kubernetes v3.7.0(解决两个CVE)。审计所有运行的mcp-server-kubernetes实例的环境变量配置。应用网络级控制,使MCP服务器不可在预期的代理运行时之外访问。审查代理权限,独立于MCP服务器自身的访问控制来强制执行最小权限Kubernetes RBAC。