技術的な説明
vLLMのビデオ処理パイプラインには、悪意のあるビデオリンクまたはファイルを経由して悪用可能な重大なRCEが含まれており、推論サーバー上での認証なしでのコード実行を可能にします。
攻撃経路
ネットワーク、低い複雑性。悪意のあるビデオURLまたはアップロードは、前処理中にコード実行をトリガーします。
影響を受けるシステム
影響を受けるvLLMバージョン。潜在的に数百万の推論デプロイメント。
緩和策
vLLMを最新バージョンにパッチします。ビデオソースを検証します。推論ワークロードをサンドボックス化します。エンドポイント公開を制限します。