Katalog CVE

CVE-2026-48746

KrytyczneCVSS 9.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.86%

Percentyl 54 — wyżej niż 54% wszystkich znanych CVE

Streszczenie

Podatność w silniku wnioskowania vLLM (wersje 0.3.0 do 0.22.0) umożliwia ominięcie uwierzytelniania OpenAI API. Błąd leży w zaufaniu serwerów ASGI i biblioteki starlette do nagłówków żądań, co pozwala na korzystanie z API bez podania klucza VLLM_API_KEY.

Ocena ryzyka

Organizacja narażona jest na nieautoryzowany dostęp do API modeli językowych, co może prowadzić do wycieku danych, nadużycia zasobów obliczeniowych i naruszenia polityk bezpieczeństwa.

Rekomendacja

Należy natychmiast zaktualizować vLLM do wersji 0.22.0 lub nowszej. Do czasu aktualizacji zaleca się dodatkowe zabezpieczenie API za pomocą firewalla lub proxy uwierzytelniającego.

Oryginalny opis (angielski, źródło NVD)

vLLM is an inference and serving engine for large language models (LLMs). From 0.3.0 until 0.22.0, a vulnerability in ASGI web servers and starlette's trust on those web servers enables an authentication bypass of the OpenAI API AuthenticationMiddleware. It allows to use the API without providing the configured VLLM_API_KEY or --api-key. This vulnerability is fixed in 0.22.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS