Katalog CVE

CVE-2026-41523

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.46%

Percentyl 37 - wyżej niż 37% wszystkich znanych CVE

Streszczenie

W vLLM przed wersją 0.22.0, w funkcji ładowania aktywacji, brak odpowiedniego zabezpieczenia opartego na asercji pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie dowolnego kodu poprzez opublikowanie złośliwego modelu na HuggingFace, gdy vLLM działa w zoptymalizowanym trybie Pythona (python -O lub PYTHONOPTIMIZE=1).

Ocena ryzyka

Atakujący może przejąć kontrolę nad serwerem vLLM, co prowadzi do kradzieży danych, modyfikacji modeli lub przerwania działania usługi.

Rekomendacja

Niezwłocznie zaktualizuj vLLM do wersji 0.22.0 lub nowszej. Unikaj uruchamiania vLLM w zoptymalizowanym trybie Pythona (python -O) do czasu aktualizacji.

Oryginalny opis (angielski, źródło NVD)

vLLM is an inference and serving engine for large language models (LLMs). Prior to 0.22.0, an assert-based security check in vLLM's activation function loading allows any unauthenticated attacker to achieve arbitrary code execution on the server by publishing a malicious HuggingFace model, when vLLM runs in Python optimized mode (python -O or PYTHONOPTIMIZE=1). This vulnerability is fixed in 0.22.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS