つみかさね

CVE-2025-65719

Critical(9)

CVE-2025-65719 — kubectl-mcp-server リモートコード実行脆弱性

公開日: 2026-06-20データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
kubectl-mcp-serverrohitg00< 1.2.0 (npm)
kubectl-mcp-serverrohitg00< 1.2.0 (PyPI)

対応ガイド

high|対応必須セキュリティ修正影響: 限定的

推奨アクション

  1. 1kubectl-mcp-serverのバージョンを確認する(npm list kubectl-mcp-server / pip show kubectl-mcp-server)
  2. 2v1.2.0以降へのアップデートを実施する
  3. 3アップデートが困難な場合はツールの使用を一時停止する

影響対象

kubectl-mcp-serverを利用しているKubernetes開発者・DevOpsエンジニア

補足

  • -MCP Serverは開発ツールとして使用されるが、Kubernetes操作権限を持つため影響範囲が広い
CVEkubectl-mcp-serverRCEKubernetesMCPnpmPyPI

概要

Kubernetes操作のためのMCP(Model Context Protocol)サーバーツール kubectl-mcp-server において、リモートコード実行(RCE)の脆弱性(CVE-2025-65719)が確認されました。攻撃者が用意した細工されたHTMLページをユーザーが閲覧することで、ユーザーの環境でコードが実行される可能性があります。

CI/CDパイプラインやローカルのKubernetes開発環境でこのツールを使用している場合、クラスター操作権限が攻撃者に取得されるリスクがあります。

CVSSベクトル

本脆弱性のCVSS数値スコアはGHSAにて未公表ですが、重大度はCriticalに分類されています。

項目
重大度Critical(GHSA分類)
攻撃条件細工されたHTMLページへのユーザーアクセスが必要
影響リモートコード実行

影響を受けるソフトウェア

製品エコシステム影響バージョン
kubectl-mcp-servernpm< 1.2.0
kubectl-mcp-serverPyPI< 1.2.0

修正バージョンと回避策

推奨: kubectl-mcp-server v1.2.0以降へのアップデートを実施してください。

# npm版
npm update kubectl-mcp-server

# pip版
pip install --upgrade kubectl-mcp-server

アップデートが困難な場合は、ツールの使用を一時停止するか、信頼できないウェブページへのアクセスを控えることで影響を軽減できます。

関連リンク

データソース: GitHub Advisory Database (GHSA), NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-0755gemini-mcp-tool OSコマンドインジェクションCVSS 9CVE-2026-11719MCP Toolbox for Databases 認証バイパスCVSS 7.5

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2025-65719
GitHub:https://github.com/rohitg00/kubectl-mcp-server
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。