CVE-2026-34940 in kubeaiinformação

Sumário

de VulDB • 16/07/2026

KubeAI é um operador de inferência de IA para o Kubernetes. Antes da versão 0.23.2, a função `ollamaStartupProbeScript()` em `internal/modelcontroller/engine_ollama.go` constrói uma string de comando shell usando `fmt.Sprintf` com componentes não sanitizados da URL do modelo (ref, modelParam). Este comando shell é executado via `bash -c` como um probe de inicialização do Kubernetes. Um atacante que possa criar ou atualizar recursos personalizados (custom resources) Model pode injetar comandos shell arbitrários que serão executados dentro dos pods do servidor de modelos. Esta vulnerabilidade foi corrigida na versão 0.23.2.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsável

GitHub M

Reservar

31/03/2026

Divulgação

06/04/2026

Moderação

aceite

Entrada

VDB-355526

CPE

pronto

EPSS

0.00448

KEV

não

Atividades

muito baixo

Fontes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!