vLLMは大規模言語モデル(LLM)の推論およびサービングエンジンです。バージョン0.14.1より前のバージョンには、vLLMプロジェクトのマルチモーダル機能セットにある`MediaConnector`クラスにサーバーサイドリクエストフォージェリ(SSRF)の脆弱性が存在していました。load_from_urlおよびload_from_url_asyncメソッドは、ユーザーから提供されたURLからメディアを取得および処理しますが、対象ホストを制限する際に異なるPython解析ライブラリを使用していました。これら二つの解析ライブラリはバックスラッシュの解釈が異なるため、ホスト名制限を回避可能です。これにより攻撃者はvLLMサーバーに、内部ネットワークリソースに対して任意のリクエストを強制的に送らせることができました。この脆弱性は、コンテナ化環境である`llm-d`のような環境において特に深刻であり、vLLMポッドが侵害されると内部ネットワークのスキャンや他のポッドとの相互作用が行われ、サービス拒否や機密データへのアクセスを引き起こす可能性があります。例えば、攻撃者はvLLMポッドに対し内部の`llm-d`管理エンドポイントに悪意あるリクエストを送らせ、KVキャッシュ状態などのメトリクスを誤って報告させることでシステムを不安定化させる可能性があります。バージョン0.14.1でこの問題は修正されています。
|