关键信息 漏洞概述 CVE编号: CVE-2022-35355 漏洞类型: 命令注入 影响版本: MCP Server Kubernetes 4.2.0 修复版本: 4.2.1 漏洞描述 MCP Server Kubernetes 的多个工具中存在命令注入漏洞。攻击者可以通过在特定的配置选项中插入恶意命令来执行任意系统命令。 漏洞细节 受影响组件: MCP Server Kubernetes 的多个工具 攻击向量: 攻击者可以利用这些工具中的配置选项,通过插入恶意命令来执行任意系统命令。 示例代码: 提供了易受攻击的代码片段和修复后的代码片段。 PoC (概念验证) 通过Pod日志进行间接命令注入 - 创建一个包含恶意命令的Pod日志。 - 使用 命令查看日志时触发命令执行。 使用MCP Inspector - 通过特定的API请求触发命令执行。 使用Kube Tool - 通过特定的API请求触发命令执行。 使用Web Client UI - 通过特定的UI操作触发命令执行。 修复措施 升级到MCP Server Kubernetes 4.2.1或更高版本。 对所有用户输入进行严格的验证和清理,确保不会被用作命令行参数。 影响 可能导致远程代码执行,进而控制受影响的系统。 参考链接 GitHub Advisory [其他相关链接] 相似问题 [类似的安全漏洞列表] ``` 这个Markdown总结了从网页截图中获取的关键信息,包括漏洞概述、描述、细节、PoC、修复措施、影响和参考链接等。