CVE-2026-27893 in vllm情報

要約

〜によって VulDB • 2026年05月19日

vLLMは、大規模言語モデル（LLM）向けの推論およびサービングエンジンです。バージョン0.10.1以降、バージョン0.18.0より前のバージョンにおいて、2つのモデル実装ファイルはサブコンポーネントの読み込み時に`trust_remote_code=True`をハードコードしており、ユーザーが明示的に指定した`--trust-remote-code=False`というセキュリティ上のオプトアウトを回避しています。これにより、ユーザーがリモートコードの信頼を明示的に無効にしている場合でも、悪意のあるモデルリポジトリを通じてリモートコード実行が可能になります。この問題はバージョン0.18.0で修正されています。

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

責任者

GitHub M

予約する

2026年02月24日

公開

2026年03月27日

モデレーション

承諾済み

エントリ

VDB-353796

CPE

準備完了

CWE

CWE-693 (確認済み)

CVSS

8.8 (CNA)

EPSS

0.00046

KEV

いいえ

アクティビティ

非常低い

ソース

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-27893
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-27893
CVE Details	https://www.cvedetails.com/cve/CVE-2026-27893/

◂ 前概要次 ▸

Might our Artificial Intelligence support you?

Check our Alexa App!