CVE-2026-29955

Name of the Vulnerable Software and Affected Versions KubePlus versão 4.14

Description O endpoint '/registercrd' no componente kubeconfiggenerator está suscetível a injeção de comando. O problema ocorre porque o componente utiliza a função subprocess.Popen() com o parâmetro shell=True para executar comandos de shell, concatenando diretamente o parâmetro chartName fornecido pelo usuário na string de comando sem a devida sanitização ou validação. Isso permite que um invasor execute comandos de shell arbitrários ao fornecer um valor malicioso para a variável chartName.

Recommendations Como medida paliativa temporária, evite usar o parâmetro chartName no endpoint '/registercrd' até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.