CVE-2026-34940 in kubeaiinfo

Zusammenfassung

von VulDB • 09.07.2026

KubeAI ist ein KI-Inferenz-Operator für Kubernetes. Vor Version 0.23.2 erstellt die Funktion `ollamaStartupProbeScript()` in `internal/modelcontroller/engine_ollama.go` eine Shell-Befehlszeichenkette unter Verwendung von `fmt.Sprintf` mit ungesäuberten Modell-URL-Komponenten (ref, modelParam). Dieser Shell-Befehl wird als Kubernetes-Startsonde über `bash -c` ausgeführt. Ein Angreifer, der Model-Custom-Ressourcen erstellen oder aktualisieren kann, willkürliche Shell-Befehle injizieren, die innerhalb von Modellserver-Pods ausgeführt werden. Diese Schwachstelle wurde in Version 0.23.2 behoben.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

GitHub M

Reservieren

31.03.2026

Veröffentlichung

06.04.2026

Moderieren

akzeptiert

Eintrag

VDB-355526

CPE

bereit

EPSS

0.00448

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!