漏洞总结:KubeAI Ollama 引擎启动探针命令注入 1. 漏洞概述 漏洞名称: OS Command Injection via Model URL in Ollama Engine startup probe CVE ID: CVE-2026-3940 描述: 项目中的 函数在构建 shell 命令字符串时,使用了未 sanitization(清洗)的模型 URL 组件( 和 )。该 shell 命令通过 作为 Kubernetes 启动探针执行。 攻击条件: 攻击者需拥有创建或更新 Model 自定义资源(CR)的权限。 后果: 攻击者可注入任意 shell 命令,这些命令将在模型服务器 Pod 内部执行。 2. 影响范围 受影响版本: 修复版本: CVSS 评分: 8.7 / 10 (High) 具体危害: 1. 任意命令执行: 任何拥有 Model CRD create/update RBAC 权限的用户均可在模型 Pod 中执行任意命令。 2. 多租户隔离失效: 在 Kubernetes 集群中,拥有模型创建权限(非 cluster-admin)的租户可执行任意命令,进而潜在访问机密、服务账户令牌,或横向移动到集群其他资源。 3. 数据泄露: 可从模型 Pod 环境窃取环境变量、挂载的机密及服务账户令牌。 4. 基础设施受损: 模型服务基础设施可能受损。 3. 修复方案 建议采用以下两种方案之一替换当前的 启动探针: 1. 使用数组参数: 替换为一个执行脚本,将参数作为单独的数组元素传递(类似 vLLM 引擎的做法),避免使用 shell 拼接。 2. 输入验证: 在插入 shell 命令前,验证/清理 和 ,仅允许字母数字字符、斜杠、冒号、点和连字符。 4. POC 代码 (Proof of Concept) 攻击向量 1: 通过 字段注入 攻击向量 2: 通过 查询参数注入**