技術的な説明
vLLMの動画処理パイプラインに、悪意のある動画リンクまたはファイルを通じて悪用可能な重大なRCEが含まれており、推論サーバー上での認証なしコード実行を可能にします。
攻撃経路
ネットワーク、低い複雑性。悪意のある動画URLまたはアップロードは、前処理中にコード実行をトリガーします。
影響を受けるシステム
影響を受けるvLLMバージョン;潜在的に数百万の推論デプロイメント。
緩和策
vLLMを最新バージョンにパッチします。動画ソースを検証します。推論ワークロードをサンドボックス化します;エンドポイント公開を制限します。