CVE-2026-34940KubeAI是专为Kubernetes设计的AI推理操作符。在0.23.2版本之前,该产品在构造启动探针脚本时,未对模型URL组件进行充分的清理和过滤。攻击者若拥有创建或更新Model自定义资源的权限,可利用此漏洞注入任意Shell命令。一旦漏洞被利用,攻击者能够在模型服务器Pod内执行恶意代码,严重影响容器安全。
该漏洞位于KubeAI源码的`internal/modelcontroller/engine_ollama.go`文件中的`ollamaStartupProbeScript`函数。该函数使用`fmt.Sprintf`将用户提供的模型URL参数(如ref和modelParam)直接拼接到Shell命令字符串中,随后该字符串通过`bash -c`作为Kubernetes的启动探针被执行。由于缺乏对特殊字符(如`;`, `&`, `|`, `$()`等)的过滤,攻击者可以构造恶意的Model资源对象。当KubeAI控制器处理该资源并尝试启动模型服务时,注入的恶意命令将被Bash解析并执行。攻击者利用此漏洞可在Pod上下文中获得远程代码执行能力,进而可能窃取AI模型数据、凭证或进行横向移动。