何が起きたか
vllm-orchestrator-gatewayコンポーネントの欠陥により、本番バイナリはすべての受信認可ヘッダーと完全なチャットペイロードを永続ログに記録するため、個人識別情報(PII)および秘密(ベアラトークンを含む)が含まれる可能性があります。
なぜ重要か
vLLMベースのゲートウェイは本番LLM推論トラフィックの前に位置します。ベアラトークンと完全なチャットコンテンツの編集されていないログにより、ログストレージ、SIEMパイプライン、バックアップシステムの大規模で永続的なセカンダリ攻撃面が作成され、このオーケストレータゲートウェイを通じてトラフィックをルーティングする任意のデプロイメント全体で認証情報盗難とPII公開の危険にさらされます。
攻撃経路
vllm-orchestrator-gatewayコンポーネントの本番バイナリは、すべての受信認可ヘッダーと完全なチャットリクエスト/レスポンスペイロードを編集なしで永続ログに書き込みます。ログアクセス権を持つすべてのユーザー(またはダウンストリーム分析/可視化システムに送信されたログ)は、ベアラトークン、APIキー、およびチャットコンテンツに含まれるPII/秘密を復元できます。
影響を受けるシステム
vllm-orchestrator-gateway(本番バイナリ)
緩和策
CVE-2026-15574のRed Hat勧告を参照してください。本番環境では冗長/デバッグリクエストロギングを無効にし、ログを永続化する前に認可ヘッダーを編集し、ログストレージ/分析パイプラインへのアクセスを制限します。