취약점  ·  2026-07-14

vLLM Orchestrator Gateway는 인증 헤더 및 전체 채팅 페이로드를 평문으로 로깅합니다

취약점High 영향도GlobalCVE-2026-15574
vllm-orchestrator-gateway 구성 요소의 결함으로 인해 프로덕션 바이너리가 모든 수신 인증 헤더 및 전체 채팅 페이로드를 개인 식별 정보(PII) 및 베어러 토큰을 포함할 수 있는 지속적인 로그에 기록합니다.
vLLM 기반 게이트웨이는 프로덕션 LLM 추론 트래픽 앞에 위치합니다. 베어러 토큰 및 전체 채팅 콘텐츠의 편집되지 않은 로깅은 로그 저장소, SIEM 파이프라인, 백업 시스템 전반에서 자격 증명 도용 및 PII 노출을 위한 크고 지속적인 2차 공격 표면을 생성하며, 이 오케스트레이터 게이트웨이를 통해 트래픽을 라우팅하는 모든 배포에 영향을 미칩니다.
vllm-orchestrator-gateway 구성 요소의 프로덕션 바이너리는 모든 수신 Authorization 헤더 및 전체 채팅 요청/응답 페이로드를 편집 없이 지속적인 로그에 기록합니다. 로그 액세스 권한이 있는 모든 사람(또는 로그가 다운스트림 분석/관찰성 시스템으로 전송되는 경우)은 베어러 토큰, API 키 및 채팅 콘텐츠에 포함된 PII/시크릿을 복구할 수 있습니다.
vllm-orchestrator-gateway(프로덕션 바이너리)
CVE-2026-15574에 대한 Red Hat의 권고를 참조하고, 프로덕션에서 상세/디버그 요청 로깅을 비활성화하고, 로그를 유지하기 전에 Authorization 헤더를 편집하고, 로그 저장소/분석 파이프라인에 대한 액세스를 제한합니다.
Red Hat - CVE-2026-15574
라이브 피드에서 보기 AI 보안 및 거버넌스 관련 소식을 더 살펴보세요 — 매일 아침 업데이트.
피드 열기 →