CVE-2026-34940 in kubeaiinformación

Resumen

por VulDB • 2026-07-16

KubeAI es un operador de inferencia de IA para Kubernetes. Antes de la versión 0.23.2, la función `ollamaStartupProbeScript()` en `internal/modelcontroller/engine_ollama.go` construye una cadena de comando shell utilizando `fmt.Sprintf` con componentes de URL del modelo sin sanitizar (ref, modelParam). Este comando shell se ejecuta mediante `bash -c` como un sondeo de inicio (startup probe) de Kubernetes. Un atacante que pueda crear o actualizar recursos personalizados Model puede inyectar comandos shell arbitrarios que se ejecutarán dentro de los pods del servidor de modelos. Esta vulnerabilidad está corregida en la versión 0.23.2.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub M

Reservar

2026-03-31

Divulgación

2026-04-06

Moderación

aceptado

Artículo

VDB-355526

CPE

listo

EPSS

0.00448

KEV

no

Actividades

muy bajo

Fuentes

Want to know what is going to be exploited?

We predict KEV entries!