CVE-2026-34940 in kubeaiinformazioni

Riassunto

di VulDB • 26/06/2026

KubeAI è un operatore di inferenza AI per Kubernetes. Prima della versione 0.23.2, la funzione `ollamaStartupProbeScript()` nel file `internal/modelcontroller/engine_ollama.go` costruisce una stringa di comando shell utilizzando `fmt.Sprintf` con componenti dell'URL del modello non sanificati (ref, modelParam). Questo comando shell viene eseguito tramite `bash -c` come probe di avvio Kubernetes. Un attaccante in grado di creare o aggiornare risorse personalizzate Model può iniettare comandi shell arbitrari che vengono eseguiti all'interno dei pod del server del modello. Questa vulnerabilità è risolta nella versione 0.23.2.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

GitHub M

Prenotare

31/03/2026

Divulgazione

06/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00448

KEV

no

Attività

molto basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!