Penjelasan teknis
Pipeline pemrosesan video vLLM mengandung RCE kritis yang dapat dieksploitasi melalui tautan video berbahaya atau file, memungkinkan eksekusi kode tanpa autentikasi pada server inferensi.
Vektor serangan
Jaringan, kompleksitas rendah. URL video berbahaya atau unggahan memicu eksekusi kode selama praproses.
Sistem yang terdampak
Versi vLLM yang terpengaruh; berpotensi jutaan penyebaran inferensi.
Mitigasi
Patch vLLM ke versi terbaru. Validasi sumber video. Sandbox beban kerja inferensi; batasi eksposur endpoint.