CVE-2026-29955KubePlus 4.14版本中的kubeconfiggenerator组件存在严重命令注入漏洞(CVSS 8.8)。该组件在处理/registercrd接口请求时,直接将用户输入的chartName参数拼接至Shell命令字符串中且未作清理。攻击者利用此漏洞可构造恶意参数,诱导服务器执行任意系统命令,从而完全控制主机,严重影响机密性、完整性和可用性。
该漏洞源于KubePlus 4.14版本中kubeconfiggenerator组件对用户输入缺乏严格的验证与消毒。在处理/registercrd端点的请求时,后端代码使用Python的subprocess.Popen函数并启用shell=True参数来执行操作系统命令。关键问题在于,代码直接将HTTP请求中的chartName参数通过字符串拼接的方式嵌入到命令行中,完全未进行任何安全过滤或转义处理。这使得攻击者可以通过注入Shell元字符(如分号;、反引号`或$(command)语法)来截断原有的命令逻辑,并追加任意恶意指令。由于CVSS向量显示攻击复杂度低且无需用户交互,经过身份认证的攻击者即可利用此漏洞在服务器端远程执行任意系统代码,可能导致敏感数据泄露、服务器被完全控制或破坏业务连续性。