技術的な説明
vLLM 0.19.0のOpenAI互換サービングパスに影響するサービス拒否脆弱性があります。エクスプロイトは公開されており、リモートから起動できます。最も広くデプロイされているオープンソースLLM推論サーバーとして、エンタープライズ、AIプラットフォーム、クラウドプロバイダーが本番環境で使用しているため、vLLMの可用性低下はAIサービス提供とモデル推論パイプラインに直接影響します。
攻撃経路
リモート、NVD説明に認証なし。エクスプロイトは公開されており、公開されているvLLM OpenAI互換APIエンドポイントに対する便乗攻撃の障壁を低下させます。
影響を受けるシステム
vLLM 0.19.0、OpenAI互換サービングパス。vLLMはエンタープライズおよびクラウドAIデプロイメントにおいてLLM推論サーバーとして広くデプロイされています。
緩和策
CVE-2026-9540に対応するパッチ済みvLLMリリースを確認し、0.19.0からアップグレードしてください。暫定的な制御として、vLLM APIエンドポイントへのネットワークアクセスを信頼できるIP範囲に制限し、OpenAI互換サービングパスにレート制限を適用してください。推論エンドポイントを対象とした異常なリクエスト量を監視してください。