Katalog CVE

CVE-2026-46519

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.06%

Percentyl 19 - wyżej niż 19% wszystkich znanych CVE

Streszczenie

mcp-server-kubernetes to serwer Model Context Protocol do zarządzania klastrami Kubernetes. W wersjach przed 3.6.0, serwer ten ujawnia trzy zmienne środowiskowe, które miały na celu kontrolowanie dostępu do operacji Kubernetes, jednakże kontrole te były skuteczne tylko na etapie odkrywania narzędzi, a nie na etapie ich wykonania.

Ocena ryzyka

Klient, który zna nazwę narzędzia, może je wywołać bez względu na skonfigurowany tryb ograniczeń, co stwarza poważne ryzyko dla bezpieczeństwa operacji w klastrze Kubernetes.

Rekomendacja

Zaleca się aktualizację do wersji 3.6.0 lub nowszej, aby usunąć tę lukę bezpieczeństwa.

Oryginalny opis (angielski, źródło NVD)

mcp-server-kubernetes is a Model Context Protocol server for Kubernetes cluster management. Prior to version 3.6.0, mcp-server-kubernetes exposes three environment variables (ALLOW_ONLY_READONLY_TOOLS, ALLOW_ONLY_NON_DESTRUCTIVE_TOOLS, ALLOWED_TOOLS) documented as access controls for restricting which Kubernetes operations are available. These controls are enforced at the tool discovery layer (tools/list) but not at the execution layer (tools/call). Any client that knows a tool name can invoke it directly regardless of the configured restriction mode. The access control was effectively cosmetic. This issue has been patched in version 3.6.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS