Openshift Ai
Уязвимости
30
Эксплуатируемые
0
Макс. CVSS
9.9
Макс. EPSS
0.00932
Распределение по критичности
Критический
3
Высокий
17
Средний
10
Низкий
0
Затронутые диапазоны версий
2.16–2.16.4
Также сопоставлено как (исходные строки): openshift ai,openshift_ai,openshift_data_science
Топ уязвимостей
CVE-2026-5483Недостаток был обнаружен в odh-dashboard в Red Hat Openshift AI. Эта уязвимость в компоненте «odh-dashboard» Red Hat OpenShift AI (RHOAI) позволяет раскрывать токены Kubernetes Service Account через конечную точку NodeJS. Это может позволить злоумышленнику получить несанкционированный доступ к ресурсам Kubernetes.
BDU:2025-14333Уязвимость платформы для разработки моделей искусственного интеллекта OpenShift AI связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить привилегии
BDU:2025-00210Уязвимость метода git-upload-pack библиотеки go-git связана с внедрением или модификацией аргументов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказывать влияние на конфиденциальность, целостность и доступность защищаемой информации
CVE-2024-7557В OpenShift AI обнаружена уязвимость, позволяющая обходить аутентификацию и повышать привилегии между моделями в одном пространстве имен. При развертывании моделей AI пользовательский интерфейс предоставляет возможность защитить модели с помощью аутентификации. Однако учетные данные одной модели можно использовать для доступа к другим моделям и API в том же пространстве имен. Открытые токены ServiceAccount, видимые в пользовательском интерфейсе, можно использовать с oc --token={token} для использования повышенных привилегий просмотра, связанных с ServiceAccount, что приводит к несанкционированному доступу к дополнительным ресурсам.
BDU:2026-04958Уязвимость библиотеки доступа к HTTP серверам LibSoup связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
BDU:2026-03452Уязвимость HTTP библиотеки Urllib3 языка программирования Python связана с некорректной обработкой сильно сжатых входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
CVE-2025-12805Недостаток был обнаружен в Red Hat OpenShift AI (RHOAI) лам-штабекторе. Эта уязвимость обеспечивает несанкционированный доступ к службам Llama Stack, развернутым в других пространствах имен через прямые сетевые запросы, поскольку ни одна сетевая полка не ограничивает доступ к конечным точечным сервису lama-stack. В результате пользователь в одном пространстве имен может получить доступ к экземпляру Llama Stack другого пользователя и потенциально просматривать или манипулировать конфиденциальными данными.
BDU:2026-07529Уязвимость платформы для разработки моделей искусственного интеллекта OpenShift AI связана с недостаточным пространственным разделением. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность и целостность защищаемой информации
BDU:2026-07251Уязвимость языка программирования Go связана с ошибками процедуры подтверждения подлинности сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
BDU:2026-07190Уязвимость асинхронной сетевой библиотеки Tornado связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
BDU:2026-05627Уязвимость библиотеки для работы с изображениями Pillow связана с неограниченным распределением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании
BDU:2026-05145Уязвимость ASN.1 библиотеки pyasn1 языка программирования Python связана с неограниченным распределением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
BDU:2026-02927Уязвимость HTTP библиотеки для Python Urllib3 связана с выделением неограниченной памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
BDU:2025-15590Уязвимость HTTP-клиента aiohttp связана с непоследовательной интерпретацией HTTP-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществлять атаки с подменой HTTP-запросов
BDU:2025-09081Уязвимость сервера системы управления базами данных (СУБД) Redis связана с неограниченным распределением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании при помощи повторяющихся неаутентифицированных подключений
BDU:2025-06972Уязвимость библиотеки веб-приложений Pallets Werkzeug связана с неконтролируемым расходом ресурсов в werkzeug.formparser.MultiPartParser. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
BDU:2025-00211Уязвимость библиотеки go-git связана с неограниченным распределением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании
BDU:2024-08257Уязвимость JavaScript-библиотеки для безопасной очистки и защиты HTML-кода DOMPurify связана с использованием регулярного выражения c неэффективной вычислительной сложностью. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, провести атаку межсайтового скриптинга (XSS)
BDU:2026-05130Уязвимость модуля email интерпретатора языка программирования Python связана с непринятием мер по нейтрализации последовательностей CRLF. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность защищаемой информации
BDU:2025-02785Уязвимость функции createInDir библиотеки glog языка программирования Golang связана с ошибками обработки ссылок. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии и получить несанкционированный доступ к защищаемой информации
BDU:2026-05929Уязвимость функции fs::metadata() библиотеки для чтения и записи архивов tar на языке Rust tar-rs связана с отслеживанием символьных ссылок UNIX. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии
BDU:2026-07257Уязвимость библиотеки Python для работы с PDF файлами PyPDF связана с выполнением цикла с недоступным условием выхода. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании
BDU:2026-05136Уязвимость модуля для работы с датой и временем time языка программирования Rust связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
BDU:2026-05131Уязвимость модуля poplib интерпретатора языка программирования Python связана с непринятием мер по чистке данных на управляющем уровне. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, выполнить произвольный код
BDU:2026-05129Уязвимость функции os.path.expandvars() интерпретатора языка программирования Python связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости позволяет нарушителю вызвать отказ в обслуживании