CVE-2026-48746
KrytyczneCVSS 9.1Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 54 — wyżej niż 54% wszystkich znanych CVE
Streszczenie
Podatność w silniku wnioskowania vLLM (wersje 0.3.0 do 0.22.0) umożliwia ominięcie uwierzytelniania OpenAI API. Błąd leży w zaufaniu serwerów ASGI i biblioteki starlette do nagłówków żądań, co pozwala na korzystanie z API bez podania klucza VLLM_API_KEY.
Ocena ryzyka
Organizacja narażona jest na nieautoryzowany dostęp do API modeli językowych, co może prowadzić do wycieku danych, nadużycia zasobów obliczeniowych i naruszenia polityk bezpieczeństwa.
Rekomendacja
Należy natychmiast zaktualizować vLLM do wersji 0.22.0 lub nowszej. Do czasu aktualizacji zaleca się dodatkowe zabezpieczenie API za pomocą firewalla lub proxy uwierzytelniającego.
Oryginalny opis (angielski, źródło NVD)
vLLM is an inference and serving engine for large language models (LLMs). From 0.3.0 until 0.22.0, a vulnerability in ASGI web servers and starlette's trust on those web servers enables an authentication bypass of the OpenAI API AuthenticationMiddleware. It allows to use the API without providing the configured VLLM_API_KEY or --api-key. This vulnerability is fixed in 0.22.0.

