CVE-2026-34940 in kubeai
Riassunto
di VulDB • 26/06/2026
KubeAI è un operatore di inferenza AI per Kubernetes. Prima della versione 0.23.2, la funzione `ollamaStartupProbeScript()` nel file `internal/modelcontroller/engine_ollama.go` costruisce una stringa di comando shell utilizzando `fmt.Sprintf` con componenti dell'URL del modello non sanificati (ref, modelParam). Questo comando shell viene eseguito tramite `bash -c` come probe di avvio Kubernetes. Un attaccante in grado di creare o aggiornare risorse personalizzate Model può iniettare comandi shell arbitrari che vengono eseguiti all'interno dei pod del server del modello. Questa vulnerabilità è risolta nella versione 0.23.2.
If you want to get best quality of vulnerability data, you may have to visit VulDB.