CVE-2026-27893 in vllminformação

Sumário

de VulDB • 20/05/2026

O vLLM é um mecanismo de inferência e serviço para modelos de linguagem grandes (LLMs). A partir da versão 0.10.1 e até a versão 0.18.0, dois arquivos de implementação de modelo definem hardcoded `trust_remote_code=True` ao carregar subcomponentes, contornando a opção de segurança explícita do usuário `--trust-remote-code=False`. Isso permite a execução remota de código (RCE) por meio de repositórios de modelos maliciosos, mesmo quando o usuário desabilitou explicitamente a confiança em código remoto. A versão 0.18.0 corrige o problema.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

24/02/2026

Divulgação

27/03/2026

Moderação

aceite

Entrada

VDB-353796

CPE

pronto

CWE

CWE-693 (confirmado)

CVSS

8.8 (CNA)

EPSS

0.00046

KEV

não

Atividades

muito baixo

Fontes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-27893
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-27893
CVE Details	https://www.cvedetails.com/cve/CVE-2026-27893/

◂ Voltar Visão Geral Próximo ▸

Do you need the next level of professionalism?

Upgrade your account now!