CVE-2026-34940 in kubeai
Résumé
par VulDB • 13/07/2026
KubeAI est un opérateur d'inférence IA pour Kubernetes. Avant la version 0.23.2, la fonction `ollamaStartupProbeScript()` dans le fichier `internal/modelcontroller/engine_ollama.go` construit une chaîne de commande shell en utilisant `fmt.Sprintf` avec des composants d'URL de modèle non assainis (ref, modelParam). Cette commande shell est exécutée via `bash -c` en tant que sonde de démarrage Kubernetes. Un attaquant capable de créer ou de mettre à jour les ressources personnalisées Model peut injecter des commandes shell arbitraires qui s'exécutent dans les pods du serveur de modèle. Ce problème de sécurité est corrigé dans la version 0.23.2.
If you want to get best quality of vulnerability data, you may have to visit VulDB.