何が起きたか
vLLM 0.22.1より前では、公式vLLM Dockerfileはカスタムインデックス(flashinfer.ai/whl/)から--extra-index-urlを使用してflashinfer-jit-cacheパッケージをインストールする一方で、UV_INDEX_STRATEGY='unsafe-best-match'がグローバルに設定されていました。パッケージ名はPyPI上に登録されていませんでした。攻撃者がPyPI上にflashinfer-jit-cacheを十分に高いバージョン番号(例えば0.6.11.post2)で登録すると、Docker ビルド中にrootとして任意のコードを実行でき、結果として生じるすべてのコンテナイメージをバックドア化できます。NVDはCVSS 8.8 High(2026-06-22公開)を確認しています。
なぜ重要か
これはvLLMの公式Dockerイメージビルドプロセスに対するサプライチェーン攻撃です。公式DockerfileからvLLMをビルドする任意の組織は、本番LLMサービング用コンテナが静かにバックドア化される危険にさらされており、すべてのユーザープロンプト、APIクレデンシャル、モデルウェイト、シークレットのエクスポートがコンテナ起動時にrootレベルの永続性で実行可能になります。
攻撃経路
攻撃者がPyPI上にflashinfer-jit-cacheをカスタムインデックスパッケージより高いバージョンで登録。docker buildの間、UVの unsafe-best-matchストラテジーがPyPIバージョンに解決され、攻撃者コードがrootとして実行されます
影響を受けるシステム
vLLM Dockerfile builds < 0.22.1
緩和策
vLLM 0.22.1にアップグレードしてください。このバージョンはDockerfileをパッチします。Advisory: https://github.com/vllm-project/vllm/security/advisories/GHSA-jrf6-vqxq-pjv2