CVE-2026-34940 in kubeaiinformation

Résumé

par VulDB • 13/07/2026

KubeAI est un opérateur d'inférence IA pour Kubernetes. Avant la version 0.23.2, la fonction `ollamaStartupProbeScript()` dans le fichier `internal/modelcontroller/engine_ollama.go` construit une chaîne de commande shell en utilisant `fmt.Sprintf` avec des composants d'URL de modèle non assainis (ref, modelParam). Cette commande shell est exécutée via `bash -c` en tant que sonde de démarrage Kubernetes. Un attaquant capable de créer ou de mettre à jour les ressources personnalisées Model peut injecter des commandes shell arbitraires qui s'exécutent dans les pods du serveur de modèle. Ce problème de sécurité est corrigé dans la version 0.23.2.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

GitHub M

Réserver

31/03/2026

Divulgation

06/04/2026

Modérer

accepté

Entrée

VDB-355526

CPE

prêt

EPSS

0.00448

KEV

non

Activités

très faible

Sources

Do you need the next level of professionalism?

Upgrade your account now!