기술 설명
3.6.0 버전 이전의 mcp-server-kubernetes는 AI 에이전트 운영자가 사용 가능한 도구 집합을 제한하기 위한 접근 제어로 문서화된 세 가지 환경 변수(ALLOW_ONLY_READONLY_TOOLS, ALLOW_ONLY_NON_DESTRUCTIVE_TOOLS, ALLOWED_TOOLS)를 노출합니다. 그러나 이러한 환경 변수는 오버라이드되거나 우회될 수 있으므로, 에이전트 또는 공격자가 의도된 안전 구성과 무관하게 전체 Kubernetes 클러스터 관리 도구 집합에 접근할 수 있습니다. 이는 읽기 전용 작업으로 제한된 AI 에이전트가 파괴적인 클러스터 작업을 수행하도록 만들어질 수 있음을 의미합니다. 동반 취약점 CVE-2026-47250(CVSS 6.1)은 3.7.0 버전 이전에서 kubectl_generic 도구를 통한 kubectl 플래그 주입을 허용하여 Kubernetes 환경 내에서 권한 상승을 가능하게 합니다.
공격 경로
에이전트 측 또는 운영자 측 환경 변수 조작은 문서화된 접근 제어를 오버라이드합니다. MCP 서버는 AI 에이전트를 Kubernetes 클러스터 API에 연결하며, 일단 안전 환경 변수 제한이 우회되면 에이전트는 파괴적 또는 권한 상승 작업을 포함한 임의의 kubectl 명령을 발행할 수 있습니다.
영향받는 시스템
Flux159/mcp-server-kubernetes v3.6.0 이전 버전(CVE-2026-46519) 및 v3.7.0 이전 버전(CVE-2026-47250). 이 서버는 AI 코딩 에이전트 및 자율 에이전트에게 Kubernetes 클러스터 관리에 대한 접근 권한을 제공하는 널리 사용되는 MCP 통합입니다.
완화 방안
mcp-server-kubernetes v3.7.0으로 업그레이드하십시오(두 CVE 모두 해결). 실행 중인 모든 mcp-server-kubernetes 인스턴스에서 환경 변수 구성을 감사하십시오. MCP 서버가 의도된 에이전트 런타임을 벗어나 접근할 수 없도록 네트워크 수준 제어를 적용하십시오. 에이전트 권한을 검토하고 MCP 서버 자체의 접근 제어와 무관하게 최소 권한 Kubernetes RBAC을 적용하십시오.