기술 설명
vLLM 버전 0.14.1은 두 개의 모델 구현 파일(vllm/model_executor/models/nemotron_vl.py 및 vllm/model_executor/models/kimi_k25.py)에서 trust_remote_code=True를 하드코딩합니다. 이는 사용자가 제공한 --trust-remote-code=False 플래그를 자동으로 무시하여, 운영자가 이 기능을 명시적으로 비활성화했을 때에도 모델 로딩 중에 모델 저장소의 임의의 코드가 실행되도록 허용합니다.
공격 경로
모델 저장소에 영향을 미칠 수 있는 공격자(예: 손상된 HuggingFace 모델 또는 공급망 침해를 통해)는 운영자의 명시적인 --trust-remote-code=False 보안 설정과 관계없이 Nemotron VL 또는 Kimi K2.5 모델을 실행하는 vLLM 인스턴스에서 모델 로딩 중에 임의의 코드를 실행할 수 있습니다. CVSS 8.8 (높음); huntr 버그 바운티 플랫폼을 통해 보고됨.
영향받는 시스템
vLLM 버전 0.14.1 — 특히 Nemotron VL 및 Kimi K2.5 모델 구현. 명시적 trust_remote_code 플래그 설정과 관계없이 이러한 모델 유형을 로드하는 모든 vLLM 배포가 영향을 받습니다.
완화 방안
vLLM을 0.14.1 이상으로 업데이트하십시오. 모든 vLLM 배포 구성을 감사하여 로드되는 모델 유형을 파악하십시오. 패치될 때까지 Nemotron VL 및 Kimi K2.5 모델 소스를 trust_remote_code 플래그와 관계없이 전체 공급망 신뢰 검증이 필요한 것으로 취급하십시오.