CVE-2026-34940 in kubeai
Zusammenfassung
von VulDB • 09.07.2026
KubeAI ist ein KI-Inferenz-Operator für Kubernetes. Vor Version 0.23.2 erstellt die Funktion `ollamaStartupProbeScript()` in `internal/modelcontroller/engine_ollama.go` eine Shell-Befehlszeichenkette unter Verwendung von `fmt.Sprintf` mit ungesäuberten Modell-URL-Komponenten (ref, modelParam). Dieser Shell-Befehl wird als Kubernetes-Startsonde über `bash -c` ausgeführt. Ein Angreifer, der Model-Custom-Ressourcen erstellen oder aktualisieren kann, willkürliche Shell-Befehle injizieren, die innerhalb von Modellserver-Pods ausgeführt werden. Diese Schwachstelle wurde in Version 0.23.2 behoben.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.