| Title | Suyog SonwalkarのMCP Server Kubernetesにおける引数の挿入または変更に関する脆弱性 |
|---|---|
| Summary | mcp-server-kubernetesは、Kubernetesクラスタ管理のためのModel Context Protocolサーバーです。バージョン3.4.0およびそれ以前には、src/tools/port_forward.tsのport_forwardツールに引数注入の脆弱性が存在していました。このツールでは、kubectlコマンドがユーザー制御の入力を文字列連結で構築し、その後スペースで単純に分割してspawn()に渡していました。コードベース内の他のすべてのツールがexecFileSync()を用いた配列ベースの引数渡しを正しく使用しているのに対し、port_forwardはユーザー制御フィールド(namespace、resourceType、resourceName、localPort、targetPort)内のすべてのスペースを引数の区切りと見なしていたため、攻撃者が任意のkubectlフラグを注入できてしまいました。これにより、--address=0.0.0.0の注入による内部Kubernetesサービスのネットワーク公開、追加の-nフラグによるクロスネームスペースターゲティング、さらにMCPサーバーに接続されたAIエージェントへのプロンプト注入を介した間接的な悪用が可能になりました。この問題はバージョン3.5.0で修正されました。 |
| Possible impacts | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | April 15, 2026, midnight |
| Registration Date | April 27, 2026, 11:21 a.m. |
| Last Update | April 27, 2026, 11:21 a.m. |
| CVSS3.0 : 重要 | |
| Score | 8.1 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N |
| Suyog Sonwalkar |
| MCP Server Kubernetes 3.5.0 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年04月27日] 掲載 |
April 27, 2026, 11:21 a.m. |
| Summary | mcp-server-kubernetes is a Model Context Protocol server for Kubernetes cluster management. Versions 3.4.0 and prior contain an argument injection vulnerability in the port_forward tool in src/tools/port_forward.ts, where a kubectl command is constructed via string concatenation with user-controlled input and then naively split on spaces before being passed to spawn(). Unlike all other tools in the codebase which correctly use array-based argument passing with execFileSync(), port_forward treats every space in user-controlled fields (namespace, resourceType, resourceName, localPort, targetPort) as an argument boundary, allowing an attacker to inject arbitrary kubectl flags. This enables exposure of internal Kubernetes services to the network by injecting --address=0.0.0.0, cross-namespace targeting by injecting additional -n flags, and indirect exploitation via prompt injection against AI agents connected to the MCP server. This issue has been fixed in version 3.5.0. |
|---|---|
| Publication Date | April 15, 2026, 1:17 p.m. |
| Registration Date | April 17, 2026, 4:11 a.m. |
| Last Update | April 24, 2026, 2:22 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:suyogs:mcp-server-kubernetes:*:*:*:*:*:node.js:*:* | 3.5.0 | ||||