技術的な説明
vLLM 0.19.0のOpenAI互換サービスパスに影響するサービス拒否脆弱性。エクスプロイトは公開されており、リモートから起動できます。最も広く導入されているオープンソースLLM推論サーバー — エンタープライズ、AIプラットフォーム、クラウドプロバイダーによって本番環境で使用 — vLLMの可用性の中断はAIサービスの提供とモデル推論パイプラインに直接影響を与えます。
攻撃経路
リモート、NVDの説明に認証の記載なし。エクスプロイトは公開されており、公開されているvLLM OpenAI互換APIエンドポイントに対する日和見的な攻撃の障壁を低くしています。
影響を受けるシステム
vLLM 0.19.0、OpenAI互換サービスパス。vLLMはエンタープライズおよびクラウドAI導入においてLLM推論サーバーとして広く導入されています。
緩和策
CVE-2026-9540に対応したパッチ済みvLLMリリースを確認し、0.19.0からアップグレードしてください。暫定的な制御として、vLLM APIエンドポイントへのネットワークアクセスを信頼できるIPレンジに制限し、OpenAI互換サービスパスにレート制限を適用してください。推論エンドポイントを対象とした異常なリクエストボリュームを監視してください。