IPBUF安全漏洞报告
English
CVE-2026-27893 CVSS 8.8 高危

CVE-2026-27893 vLLM远程代码执行漏洞

披露日期: 2026-03-27
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-27893
漏洞类型
远程代码执行
CVSS评分
8.8 高危
攻击向量
网络 (AV:N)
认证要求
无需认证 (PR:N)
用户交互
需要交互 (UI:R)
影响产品
vLLM

相关标签

远程代码执行vLLMLLM安全信任绕过CVE-2026-27893

漏洞概述

vLLM是一个大型语言模型推理引擎。在0.10.1至0.18.0之前的版本中,两个模型实现文件在加载子组件时硬编码了`trust_remote_code=True`,导致即使用户设置了`--trust-remote-code=False`安全选项,该设置也会被绕过。攻击者可利用恶意模型仓库在用户禁用远程代码信任的情况下仍执行任意代码,造成远程代码执行风险。

技术细节

该漏洞源于vLLM在加载模型子组件时的配置逻辑缺陷。在受影响版本中,特定的模型实现文件内部未遵循用户通过命令行参数`--trust-remote-code=False`传递的安全指令,而是强制将`trust_remote_code`参数设置为`True`。这意味着当用户加载来自不可信来源(如Hugging Face Hub)的模型时,vLLM会自动下载并执行模型仓库中包含的任意Python代码,而不会进行安全检查。攻击者可以通过构造包含恶意脚本的模型仓库(例如在`config.json`或`modeling_xxx.py`中植入恶意代码),诱导受害者加载该模型。一旦加载,恶意代码将在运行vLLM的服务器上下文中执行,从而获取系统控制权,导致数据泄露、篡改或服务中断。

攻击链分析

STEP 1
1. 侦察与诱饵
攻击者识别目标使用vLLM引擎,并准备一个包含恶意Python代码(如后门)的伪造模型仓库,发布到公共模型库或发送给目标。
STEP 2
2. 诱导加载
攻击者诱导受害者使用vLLM加载该恶意模型。受害者为了安全,通常会显式使用--trust-remote-code=False参数启动服务。
STEP 3
3. 安全绕过
由于vLLM漏洞,受影响的模型文件在加载子组件时硬编码了trust_remote_code=True,无视了受害者的False设置。
STEP 4
4. 代码执行
vLLM自动下载并执行模型仓库中的恶意代码。攻击者获得服务器权限,可进一步窃取数据或植入持久化后门。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
# Proof of Concept (Conceptual) # This PoC demonstrates the bypass of trust_remote_code=False. # It requires a malicious model repository structure. import os from vllm import LLM # Simulate a malicious model path (attacker controlled) malicious_model_path = "./malicious_model_repo" # The user explicitly sets trust_remote_code to False to prevent RCE print("Attempting to load model with trust_remote_code=False...") try: # In vulnerable versions (0.10.1 - <0.18.0), the hardcoded value inside # specific model implementations overrides this user setting. llm = LLM( model=malicious_model_path, trust_remote_code=False, # Security opt-out download_dir="./tmp" ) print("Model loaded. If vulnerable, code from the model repo has already executed.") except Exception as e: print(f"Error: {e}") # Expected behavior in vulnerable versions: # The code inside 'malicious_model_repo/modeling_malicious.py' would execute # regardless of the trust_remote_code=False flag.

影响范围

vLLM 0.10.1 至 0.18.0 之前

防御指南

临时缓解措施
建议用户立即将vLLM升级到最新版本。在无法升级的情况下,应避免加载来源不明的模型仓库,并检查模型代码中是否包含可疑的导入或执行语句。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表