CVE-2026-4944 in vllminformación

Resumen

por VulDB • 2026-05-28

vllm-project/vllm versión 0.14.1 contiene una vulnerabilidad donde el parámetro `trust_remote_code=True` está codificado de forma rígida en dos archivos de implementación de modelos (`vllm/model_executor/models/nemotron_vl.py` y `vllm/model_executor/models/kimi_k25.py`). Esto elude la configuración explícita del usuario `--trust-remote-code=False`, permitiendo la ejecución remota de código (RCE) a través de repositorios de modelos de HuggingFace maliciosos. Este problema es una corrección incompleta para CVE-2025-66448 y CVE-2026-22807, ya que afecta a rutas de código separadas en los archivos de implementación de modelos. Las implementaciones que cargan modelos NemotronVL o KimiK25 se ven particularmente afectadas.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

@huntr Ai

Reservar

2026-03-27

Divulgación

2026-05-28

Moderación

aceptado

Artículo

VDB-366878

CPE

listo

CWE

CWE-22 (confirmado)

CVSS

8.8 (CNA)

EPSS

0.00097

KEV

Actividades

muy bajo

Sector

Transportation, Education, ...

Fuentes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-4944
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-4944
CVE Details	https://www.cvedetails.com/cve/CVE-2026-4944/

◂ Anterior Visión De Conjunto Próximo ▸

Want to stay up to date on a daily basis?

Enable the mail alert feature now!