Penjelasan teknis
vLLM versi 0.14.1 hardcodes trust_remote_code=True di dua file implementasi model (vllm/model_executor/models/nemotron_vl.py dan vllm/model_executor/models/kimi_k25.py). Ini secara diam-diam menimpa flag --trust-remote-code=False yang disediakan pengguna, memungkinkan kode arbitrer dari repositori model untuk dieksekusi selama pemuatan model bahkan ketika operator telah secara eksplisit menonaktifkan kemampuan ini.
Vektor serangan
Seorang penyerang yang dapat mempengaruhi repositori model yang dimuat oleh vLLM (misalnya, melalui model HuggingFace yang tercemar atau kompromi rantai pasokan) dapat menjalankan kode arbitrer selama pemuatan model pada instans vLLM yang menjalankan model Nemotron VL atau Kimi K2.5, terlepas dari konfigurasi keamanan --trust-remote-code=False yang eksplisit dari operator. CVSS 8.8 (High); dilaporkan melalui platform bounty huntr.
Sistem yang terdampak
vLLM versi 0.14.1 — khususnya implementasi model Nemotron VL dan Kimi K2.5. Setiap penerapan vLLM yang memuat tipe model ini terpengaruh terlepas dari pengaturan flag trust_remote_code yang eksplisit.
Mitigasi
Perbarui vLLM melampaui 0.14.1. Audit semua konfigurasi penerapan vLLM untuk mengidentifikasi tipe model mana yang dimuat. Sampai diperbaiki, perlakukan sumber model Nemotron VL dan Kimi K2.5 sebagai memerlukan verifikasi kepercayaan rantai pasokan penuh terlepas dari flag trust_remote_code.