기술 설명
vLLM 버전 0.14.1은 두 개의 모델 구현 파일(vllm/model_executor/models/nemotron_vl.py 및 vllm/model_executor/models/kimi_k25.py)에서 trust_remote_code=True를 하드코딩합니다. 이는 사용자가 제공한 --trust-remote-code=False 플래그를 자동으로 무시하여, 운영자가 이 기능을 명시적으로 비활성화했음에도 불구하고 모델 로딩 중에 모델 저장소의 임의 코드가 실행될 수 있게 합니다.
공격 경로
vLLM 인스턴스에 로드되는 모델 저장소에 영향을 미칠 수 있는 공격자(예: 손상된 HuggingFace 모델 또는 공급망 손상을 통해)는 Nemotron VL 또는 Kimi K2.5 모델을 실행하는 vLLM 인스턴스에서 모델 로딩 중 임의 코드를 실행할 수 있으며, 운영자의 명시적인 --trust-remote-code=False 보안 구성과 무관하게 이러한 실행이 가능합니다. CVSS 8.8 (높음); huntr 보상 플랫폼을 통해 보고됨.
영향받는 시스템
vLLM 버전 0.14.1 — 특히 Nemotron VL 및 Kimi K2.5 모델 구현. 명시적 trust_remote_code 플래그 설정과 무관하게 이러한 모델 유형을 로드하는 모든 vLLM 배포가 영향을 받습니다.
완화 방안
vLLM을 0.14.1 이상으로 업데이트하세요. 모든 vLLM 배포 구성을 감사하여 로드되는 모델 유형을 파악하세요. 패치될 때까지 Nemotron VL 및 Kimi K2.5 모델 소스를 trust_remote_code 플래그와 무관하게 전체 공급망 신뢰 검증이 필요한 것으로 취급하세요.