Apa yang terjadi
Dalam vLLM 0.3.0 hingga 0.22.0, AuthenticationMiddleware merekonstruksi jalur permintaan menggunakan URL(scope=scope).path Starlette, yang menggabungkan header Host yang dikontrol penyerang. Dengan menyuntikkan header Host yang dirancang seperti 'localhost/v1/models?' pemeriksaan autentikasi — yang memverifikasi apakah jalur dimulai dengan /v1 — dapat dilewati, memberikan akses tidak terautentikasi ke titik akhir API yang dilindungi apa pun. Diperbaiki di 0.22.0 dengan menggunakan scope['path'] secara langsung. CVSS 9.1 Critical dikonfirmasi oleh analisis mendalam Miggo Security.
Mengapa penting
vLLM adalah salah satu mesin inferensi LLM yang paling banyak digunakan dalam produksi. Bypass auth memungkinkan penyerang yang dapat menjangkau jaringan apa pun untuk mengeluarkan penyelesaian, mendaftar model, mengonsumsi sumber daya GPU, dan menjarah data inferensi sensitif tanpa kunci API apa pun — langsung merusak mekanisme kontrol akses utama yang melindungi penerapan LLM yang dihosting.
Vektor serangan
Permintaan HTTP dengan header Host yang dirancang (misalnya Host: localhost/v1/models?) ke titik akhir API yang kompatibel dengan OpenAI vLLM apa pun; melewati pemeriksaan prefiks jalur AuthenticationMiddleware
Sistem yang terdampak
vLLM >= 0.3.0, < 0.22.0
Mitigasi
Tingkatkan ke vLLM 0.22.0 atau lebih baru. Pemberitahuan: https://github.com/vllm-project/vllm/pull/43426