Kritikus vLLM sebezhetőség
A vLLM, egy népszerű, nagy teljesítményű keretrendszer a LLM kiszolgálására, kritikus biztonsági hibát tartalmaz, amelyet CVE-2026-22778 azonosítójú sebezhetőségként jelöltek. A sérülékenység lehetővé teszi a támadók számára, hogy RCE végezzenek a sérülékeny rendszereken, mindössze egy káros videólink beküldésével a vLLM API-jának. A vLLM havonta több mint 3 millió letöltést ér el, így a sebezhetőség potenciálisan milliónyi AI-szervert tesz ki veszélynek.
A probléma lényege, hogy a vLLM API nem megfelelően ellenőrzi a beérkező videólinkeket, így egy speciálisan kialakított, rosszindulatú link feldolgozása során a támadó tetszőleges parancsokat futtathat le a szerveren. Ez azt jelenti, hogy ha egy támadó eljuttat egy ilyen linket a rendszerhez, akár teljes irányítást szerezhet a szerver felett, anélkül, hogy hitelesíteni vagy különleges jogokkal rendelkeznie kellene.
A sebezhetőség különösen veszélyes, mert a vLLM-t széles körben használják nagy nyelvmodellek hatékony kiszolgálására, így számos vállalat és szolgáltató lehet kitéve a támadásoknak. A biztonsági szakértők sürgetik a rendszergazdákat, hogy minél előbb frissítsék a vLLM csomagjaikat, és alkalmazzák a kiadott javításokat, mivel a hiba aktív kizsákmányolására már lehetőség nyílt.
