漏洞概述
vLLM 是一个用于大语言模型(LLMs)的推理与服务引擎。在 vLLM 0.10.1 至 0.14.0 之前的版本中,系统在解析模型时会加载 Hugging Face 的 auto_map 动态模块,且未对 trust_remote_code 参数进行校验。这使得攻击者若能控制模型仓库或本地路径,即可在服务器启动时执行任意 Python 代码,从而实现远程代码执行(RCE)。该漏洞发生在模型加载阶段,无需 API 访问权限,已在 vLLM 0.14.0 版本中修复。
漏洞详情
- CVE 编号:CVE-2026-22807
- 漏洞类型:CWE-94(代码生成控制不当)
- CVSS 评分:8.8(HIGH)
- 影响版本:vLLM 0.10.1 至 0.13.x(0.14.0 之前的所有版本)
影响范围
所有使用 vLLM 0.10.1 至 0.13.x 版本并从不可信来源加载模型(包括本地目录或 Hugging Face 远程仓库)的部署环境均受影响。
风险分析
攻击者可通过诱导管理员或自动化系统加载恶意构造的模型文件,在 vLLM 服务启动阶段执行任意代码。由于该漏洞触发于模型加载过程,无需用户交互或 API 请求,攻击门槛较低,可能导致服务器完全被控制、数据泄露或服务中断。
修复建议
- 立即升级至 vLLM 0.14.0 或更高版本,该版本已修复此问题。
- 在无法立即升级的情况下,应确保仅从可信来源加载模型,并避免使用包含
auto_map配置的模型仓库。
