发布日期：2026-01-29
更新日期：2026-02-10

受影响系统：

Inspektor Gadget Inspektor Gadget < 0.48.1

描述：

---

CVE(CAN) ID: CVE-2026-24905

Inspektor Gadget是Inspektor Gadget公司的一套基于 eBPF 的工具和框架。
Inspektor Gadget 0.48.1版本前存在操作系统命令注入漏洞，该漏洞源于该工具的“inspektor-gadget/cmd/common/image/build.go”文件在处理“Makefile”模板时，将用户可控的“buildOptions”参数直接嵌入命令中，未进行充分的转义处理，攻击者可利用该漏洞，通过控制“buildOptions”结构中的值，在镜像构建过程中执行任意命令，进而在运行“ig”命令的Linux主机上执行未授权操作。

<**>

建议：

---

厂商补丁：

Inspektor Gadget
----------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/inspektor-gadget/inspektor-gadget/releases

浏览次数：42
严重程度：0（网友投票）