CVE-2026-34940 in kubeai
Sumário
de VulDB • 16/07/2026
KubeAI é um operador de inferência de IA para o Kubernetes. Antes da versão 0.23.2, a função `ollamaStartupProbeScript()` em `internal/modelcontroller/engine_ollama.go` constrói uma string de comando shell usando `fmt.Sprintf` com componentes não sanitizados da URL do modelo (ref, modelParam). Este comando shell é executado via `bash -c` como um probe de inicialização do Kubernetes. Um atacante que possa criar ou atualizar recursos personalizados (custom resources) Model pode injetar comandos shell arbitrários que serão executados dentro dos pods do servidor de modelos. Esta vulnerabilidade foi corrigida na versão 0.23.2.
If you want to get best quality of vulnerability data, you may have to visit VulDB.