BDU:2026-00234

Опубликовано: 29 июн. 2025

Источник: fstec

CVSS3: 7.5

CVSS2: 7.6

EPSS Низкий

Описание

Уязвимость функции child_process MCP-сервера для управления кластерами виртуальных машин Kubernetes связана с непринятием мер по чистке данных на управляющем уровне. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

MCP Server

Версия ПО

от 2.4.9 до 2.5.0 (MCP Server)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)

Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://github.com/cyanheads/git-mcp-server/commit/0dbd6995ccdf76ab770b58013034365b2d06c4d9

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-53355
CVE

EPSS

Процентиль: 10%

0.00034

Низкий

7.5 High

CVSS3

7.6 High

CVSS2

Связанные уязвимости

CVE-2025-53355

CVSS3: 7.5

nvd

7 месяцев назад

MCP Server Kubernetes is an MCP Server that can connect to a Kubernetes cluster and manage it. A command injection vulnerability exists in the mcp-server-kubernetes MCP Server. The vulnerability is caused by the unsanitized use of input parameters within a call to child_process.execSync, enabling an attacker to inject arbitrary system commands. Successful exploitation can lead to remote code execution under the server process's privileges. This vulnerability is fixed in 2.5.0.

GHSA-gjv4-ghm7-q58q

CVSS3: 7.5

github

7 месяцев назад

MCP Server Kubernetes vulnerable to command injection in several tools

EPSS

Процентиль: 10%

0.00034

Низкий

7.5 High

CVSS3

7.6 High

CVSS2