Apa yang terjadi
Sebelum vLLM 0.22.1, Dockerfile vLLM resmi memasang paket flashinfer-jit-cache dari indeks khusus (flashinfer.ai/whl/) menggunakan --extra-index-url, sementara UV_INDEX_STRATEGY='unsafe-best-match' diatur secara global. Nama paket tidak terdaftar di PyPI. Penyerang yang mendaftarkan flashinfer-jit-cache di PyPI dengan nomor versi yang cukup tinggi (misalnya 0.6.11.post2) dapat menjalankan kode arbitrer sebagai root selama setiap pembangunan Docker, memasang pintu belakang setiap gambar kontainer yang dihasilkan. NVD mengkonfirmasi CVSS 8.8 High, dipublikasikan 2026-06-22.
Mengapa penting
Ini adalah serangan rantai pasokan terhadap proses pembangunan gambar Docker vLLM resmi. Organisasi apa pun yang membangun vLLM dari Dockerfile resmi rentan terhadap kontainer serving LLM produksi mereka yang dipasang pintu belakang secara diam-diam, memungkinkan penjarah semua prompt pengguna, kredensial API, bobot model, dan rahasia saat startup kontainer — dengan persistensi tingkat root.
Vektor serangan
Penyerang mendaftarkan flashinfer-jit-cache di PyPI dengan versi lebih tinggi dari paket indeks khusus; strategi unsafe-best-match UV menyelesaikan ke versi PyPI selama docker build, menjalankan kode penyerang sebagai root
Sistem yang terdampak
vLLM Dockerfile builds < 0.22.1
Mitigasi
Tingkatkan ke vLLM 0.22.1 yang menambal Dockerfile. Pemberitahuan: https://github.com/vllm-project/vllm/security/advisories/GHSA-jrf6-vqxq-pjv2