MCP Server Kubernetes < 3.9.0 参数注入漏洞 漏洞概述 MCP Server Kubernetes 3.9.0 之前的版本在结构化工具( 、 、 )中存在参数注入漏洞,允许攻击者通过提供带有前导破折号的 和 参数来绕过 安全检查。攻击者可以注入 标志,将 命令重定向到攻击者控制的 API 服务器,导致操作者的 bearer token 被外部传输,从而实现整个集群的完全控制。 影响范围 受影响版本: MCP Server Kubernetes < 3.9.0 CVSS 评分: 9.3 CVSS 向量: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 修复方案 升级到 MCP Server Kubernetes 3.9.0 或更高版本。 参考链接 Release Notes Researcher Disclosure Pull Request Patch Commit 贡献者 George Chen