技術的な説明
バージョン 3.6.0 より前の mcp-server-kubernetes は、AI エージェントオペレータに利用可能なツールセットを制限するためのアクセス制御として文書化されている3つの環境変数(ALLOW_ONLY_READONLY_TOOLS、ALLOW_ONLY_NON_DESTRUCTIVE_TOOLS、ALLOWED_TOOLS)を公開しています。ただし、これらの環境変数はオーバーライドまたは回避される可能性があり、意図されたセーフティ設定に関係なく、エージェントまたは攻撃者が完全な Kubernetes クラスター管理ツールセットにアクセスできるようになります。これは、読み取り専用操作に限定された AI エージェントが破壊的なクラスターアクションを実行するように作られる可能性があることを意味します。バージョン 3.7.0 より前の companion vulnerability CVE-2026-47250(CVSS 6.1)は kubectl_generic ツールを通じた kubectl フラグインジェクションを許可し、Kubernetes 環境内での権限昇格を可能にします。
攻撃経路
エージェント側またはオペレータ側の環境変数操作は、文書化されたアクセス制御をオーバーライドします。MCP サーバーは AI エージェントを Kubernetes クラスター API に接続します。セーフティ環境変数制限がバイパスされると、エージェントは破壊的または権限昇格操作を含む任意の kubectl コマンドを発行できます。
影響を受けるシステム
Flux159/mcp-server-kubernetes バージョン v3.6.0 より前(CVE-2026-46519)および v3.7.0 より前(CVE-2026-47250)。このサーバーは、AI コーディングエージェントおよび自律エージェントに Kubernetes クラスター管理へのアクセスを提供するための広く使用されている MCP インテグレーションです。
緩和策
mcp-server-kubernetes v3.7.0 にアップグレードしてください(両方の CVE に対応)。実行されているすべての mcp-server-kubernetes インスタンスについて環境変数設定を監査してください。意図されたエージェントランタイム以外からは MCP サーバーにアクセスできないようにネットワークレベルのコントロールを適用してください。エージェント権限を確認し、MCP サーバー独自のアクセス制御とは独立して、最小権限の Kubernetes RBAC を実施してください。