技術的な説明
vLLM バージョン 0.14.1 は、2 つのモデル実装ファイル (vllm/model_executor/models/nemotron_vl.py および vllm/model_executor/models/kimi_k25.py) で trust_remote_code=True をハードコードしています。これにより、ユーザーが指定した --trust-remote-code=False フラグが暗黙的にオーバーライドされ、オペレーターがこの機能を明示的に無効にしていても、モデルロード時にモデルリポジトリからの任意のコードが実行されます。
攻撃経路
vLLM によってロードされるモデルリポジトリに影響を与えることができる攻撃者 (例: 毒性のある HuggingFace モデルまたはサプライチェーンの侵害) は、オペレーターの明示的な --trust-remote-code=False セキュリティ設定に関係なく、Nemotron VL または Kimi K2.5 モデルを実行する vLLM インスタンス上でモデルロード時に任意のコードを実行できます。CVSS 8.8 (High)、huntr バウンティプラットフォーム経由で報告されました。
影響を受けるシステム
vLLM バージョン 0.14.1 — 特に Nemotron VL および Kimi K2.5 モデルの実装。これらのモデルタイプをロードする vLLM デプロイメントは、明示的な trust_remote_code フラグ設定に関係なく影響を受けます。
緩和策
vLLM を 0.14.1 を超えるバージョンに更新してください。すべての vLLM デプロイメント設定を監査して、どのモデルタイプがロードされているかを特定してください。パッチが適用されるまで、trust_remote_code フラグに関係なく、Nemotron VL および Kimi K2.5 モデルのソースを完全なサプライチェーン信頼検証が必要なものとして扱ってください。