CVE-2026-24905

Nome do Software Vulnerável e Versões Afetadas Versões do Inspektor Gadget anteriores a 0.48.1

Descrição O Inspektor Gadget é um conjunto de ferramentas e um framework para coleta de dados e inspeção de sistemas em clusters Kubernetes e hosts Linux utilizando eBPF. O binário ig inclui um subcomando para construção de imagens, que utiliza um arquivo Makefile.build. Este arquivo incorpora dados controlados pelo usuário sem escape adequado, resultando em uma vulnerabilidade de injeção de comandos. Um atacante que controle os valores dentro da estrutura buildOptions pode executar comandos arbitrários durante o processo de construção da imagem. A exploração pode ocorrer no host Linux onde o comando ig é executado, especialmente ao usar a flag --local, ou dentro do container de build caso a flag não seja utilizada. A estrutura buildOptions é derivada do manifesto do gadget em YAML fornecido ao comando ig image build, exigindo controle sobre o arquivo build.yml ou suas opções para explorar a vulnerabilidade.

Recomendações Atualize para a versão 0.48.1 ou superior.