脆弱性  ·  2026-07-14

vLLM Orchestrator Gateway Logs Authorization Headers and Full Chat Payloads in Plaintext

脆弱性High 影響度GlobalCVE-2026-15574
vllm-orchestrator-gatewayコンポーネントの欠陥により、本番バイナリはすべての受信認可ヘッダーと完全なチャットペイロードを永続ログに記録するため、個人識別情報(PII)および秘密(ベアラトークンを含む)が含まれる可能性があります。
vLLMベースのゲートウェイは本番LLM推論トラフィックの前に位置します。ベアラトークンと完全なチャットコンテンツの編集されていないログにより、ログストレージ、SIEMパイプライン、バックアップシステムの大規模で永続的なセカンダリ攻撃面が作成され、このオーケストレータゲートウェイを通じてトラフィックをルーティングする任意のデプロイメント全体で認証情報盗難とPII公開の危険にさらされます。
vllm-orchestrator-gatewayコンポーネントの本番バイナリは、すべての受信認可ヘッダーと完全なチャットリクエスト/レスポンスペイロードを編集なしで永続ログに書き込みます。ログアクセス権を持つすべてのユーザー(またはダウンストリーム分析/可視化システムに送信されたログ)は、ベアラトークン、APIキー、およびチャットコンテンツに含まれるPII/秘密を復元できます。
vllm-orchestrator-gateway(本番バイナリ)
CVE-2026-15574のRed Hat勧告を参照してください。本番環境では冗長/デバッグリクエストロギングを無効にし、ログを永続化する前に認可ヘッダーを編集し、ログストレージ/分析パイプラインへのアクセスを制限します。
Red Hat - CVE-2026-15574
ライブフィードで見る AIセキュリティとガバナンスの関連情報をさらに見る — 毎朝更新。
フィードを開く →