技術的な説明
vLLM バージョン 0.14.1 は、2つのモデル実装ファイル (vllm/model_executor/models/nemotron_vl.py および vllm/model_executor/models/kimi_k25.py) で trust_remote_code=True をハードコード化しています。これはユーザーが指定した --trust-remote-code=False フラグを無視し、オペレータが明示的にこの機能を無効化していても、モデルロード中にモデルリポジトリから任意のコードの実行を許可します。
攻撃経路
vLLM によってロードされるモデルリポジトリに影響を与えることができる攻撃者 (例: 悪意のある HuggingFace モデルまたはサプライチェーン侵害を介して) は、オペレータの明示的な --trust-remote-code=False セキュリティ設定に関わらず、Nemotron VL または Kimi K2.5 モデルを実行している vLLM インスタンス上のモデルロード中に任意のコードを実行できます。CVSS 8.8 (高); huntr バウンティプラットフォーム経由で報告。
影響を受けるシステム
vLLM バージョン 0.14.1 — 具体的には Nemotron VL および Kimi K2.5 モデル実装。これらのモデルタイプをロードするすべての vLLM デプロイメントは、明示的な trust_remote_code フラグ設定に関わらず影響を受けます。
緩和策
vLLM を 0.14.1 以降に更新してください。すべての vLLM デプロイメント構成を監査して、どのモデルタイプがロードされているかを特定してください。パッチが適用されるまで、Nemotron VL および Kimi K2.5 モデルソースを trust_remote_code フラグに関わらず完全なサプライチェーン信頼検証が必要なものとして扱ってください。