Kerentanan  ·  2026-07-14

vLLM Orchestrator Gateway Mencatat Authorization Headers dan Full Chat Payloads dalam Plaintext

KerentananHigh dampakGlobalCVE-2026-15574
Flaw dalam komponen vllm-orchestrator-gateway menyebabkan binary produksi mencatat semua incoming authorization headers dan full chat payloads ke persistent logs, yang mungkin mengandung personally identifiable information (PII) dan secrets, termasuk bearer tokens.
Gateway berbasis vLLM duduk di depan traffic LLM inference produksi; unredacted logging dari bearer tokens dan full chat content menciptakan secondary attack surface yang besar dan persistent (log storage, SIEM pipelines, backup systems) untuk credential theft dan PII exposure di seluruh deployment yang merutekan traffic melalui orchestrator gateway ini.
Binary produksi dari komponen vllm-orchestrator-gateway menulis semua incoming Authorization headers dan full chat request/response payloads ke persistent logs tanpa redaksi; siapa pun dengan akses log (atau logs yang dikirim ke downstream analytics/observability system) dapat memulihkan bearer tokens, API keys, dan PII/secrets yang terkandung dalam chat content.
vllm-orchestrator-gateway (production binary)
Lihat advisory Red Hat untuk CVE-2026-15574; disable verbose/debug request logging di produksi, redact Authorization headers sebelum persist logs, dan restrict akses ke log storage/analytics pipelines.
Red Hat - CVE-2026-15574
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →