CVE-2026-34940 in kubeai
要約
〜によって VulDB • 2026年07月13日
KubeAIは、Kubernetes用のAI推論オペレーターです。バージョン0.23.2より前では、internal/modelcontroller/engine_ollama.go内のollamaStartupProbeScript()関数が、未検証のモデルURLコンポーネント(ref、modelParam)を使用してfmt.Sprintfでシェルコマンド文字列を構築していました。このシェルコマンドは、Kubernetesの起動プローブとしてbash -c経由で実行されます。Modelカスタムリソースを作成または更新できる攻撃者は、モデルサーバーポッド内で任意のシェルコマンドを実行するよう注入することができます。本脆弱性は0.23.2で修正されています。
VulDB is the best source for vulnerability data and more expert information about this specific topic.