Penjelasan teknis
mcp-server-kubernetes sebelum versi 3.6.0 mengekspos tiga variabel lingkungan (ALLOW_ONLY_READONLY_TOOLS, ALLOW_ONLY_NON_DESTRUCTIVE_TOOLS, ALLOWED_TOOLS) yang terdokumentasi sebagai kontrol akses untuk membatasi set alat yang tersedia untuk operator agen AI. Namun, variabel lingkungan ini dapat ditimpa atau dilewati, memungkinkan agen atau penyerang mengakses set alat manajemen cluster Kubernetes lengkap terlepas dari konfigurasi keselamatan yang dimaksudkan. Ini berarti agen AI yang dibatasi untuk operasi baca saja dapat dibuat melakukan tindakan cluster yang merusak. Kerentanan pendamping CVE-2026-47250 (CVSS 6.1) dalam versi sebelum 3.7.0 memungkinkan injeksi flag kubectl melalui alat kubectl_generic, sehingga memungkinkan eskalasi privilege dalam lingkungan Kubernetes.
Vektor serangan
Manipulasi variabel lingkungan sisi agen atau sisi operator menimpa kontrol akses yang terdokumentasi. Server MCP menghubungkan agen AI ke API cluster Kubernetes; setelah pembatasan variabel lingkungan keselamatan dilewati, agen dapat mengeluarkan perintah kubectl arbitrer termasuk operasi yang merusak atau eskalasi privilege.
Sistem yang terdampak
Flux159/mcp-server-kubernetes versi sebelum v3.6.0 (CVE-2026-46519) dan sebelum v3.7.0 (CVE-2026-47250). Server adalah integrasi MCP yang banyak digunakan untuk memberikan agen pengkodean AI dan agen otonomi akses ke manajemen cluster Kubernetes.
Mitigasi
Tingkatkan ke mcp-server-kubernetes v3.7.0 (mengatasi kedua CVE). Audit semua instance mcp-server-kubernetes yang berjalan untuk konfigurasi variabel lingkungan. Terapkan kontrol tingkat jaringan sehingga server MCP tidak dapat diakses di luar runtime agen yang dimaksudkan. Tinjau izin agen dan paksakan RBAC Kubernetes least-privilege independen dari kontrol akses server MCP itu sendiri.