Plataforma
python
Componente
vllm
Corregido en
0.10.2
0.14.0
CVE-2026-22807 describe una vulnerabilidad de Ejecución Remota de Código (RCE) en vLLM, una biblioteca de inferencia de modelos de lenguaje. Esta falla permite a un atacante ejecutar código Python arbitrario en el servidor vLLM durante la carga del modelo, incluso antes de que se procese cualquier solicitud. La vulnerabilidad afecta a versiones de vLLM menores o iguales a 0.13.0 y se corrige en la versión 0.14.0.
El impacto de esta vulnerabilidad es crítico. Un atacante que pueda controlar el repositorio o la ruta del modelo (ya sea un directorio local o un repositorio remoto de Hugging Face) puede lograr la ejecución de código arbitrario en el host de vLLM. Esta ejecución ocurre durante la carga del modelo, antes de que se maneje cualquier solicitud de API, lo que significa que no se requiere acceso a la API para explotar la vulnerabilidad. Esto permite a un atacante comprometer completamente el servidor, instalar malware, robar datos confidenciales o utilizar el servidor como punto de apoyo para ataques posteriores. La falta de validación de trustremotecode antes de cargar módulos dinámicos auto_map es la causa raíz de este problema.
Esta vulnerabilidad fue publicada el 21 de enero de 2026. Actualmente no se encuentra en el Catálogo de Vulnerabilidades Conocidas (KEV) de CISA, pero dada la severidad (CVSS 8.8) y la facilidad de explotación, es probable que se agregue en el futuro. No se han reportado públicamente exploits activos, pero la disponibilidad de código Python en repositorios de modelos hace que la explotación sea relativamente sencilla. La falta de una validación adecuada de trustremotecode se asemeja a patrones de vulnerabilidad observados en otros proyectos que manejan código de terceros.
Organizations deploying vLLM for LLM inference and serving are at risk, particularly those using untrusted or publicly accessible Hugging Face model repositories. Environments where vLLM is used for sensitive workloads or integrated with other critical systems face the highest risk. Shared hosting environments where multiple users can influence model paths are also particularly vulnerable.
• python / server:
import os
import subprocess
def check_vllm_version():
try:
result = subprocess.check_output(['vllm', '--version'], stderr=subprocess.STDOUT, text=True)
version = result.strip()
if version.startswith('0.13.'):
print(f"vLLM version is vulnerable: {version}")
else:
print(f"vLLM version is not vulnerable: {version}")
except FileNotFoundError:
print("vLLM not found.")
except subprocess.CalledProcessError as e:
print(f"Error checking vLLM version: {e}")
check_vllm_version()• python / supply-chain: Monitor Hugging Face model repositories for suspicious code or unusual file modifications. • generic web: Inspect vLLM server logs for errors related to model loading or unexpected code execution.
disclosure
patch
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-22807 es actualizar a la versión 0.14.0 de vLLM o superior, que incluye la corrección. Si la actualización no es inmediatamente posible, se recomienda cargar los modelos con el parámetro trustremotecode=True. Esto requiere una evaluación cuidadosa de la confianza en las fuentes de los modelos, ya que permite la ejecución de código arbitrario. Como medida adicional, se puede implementar un firewall de aplicaciones web (WAF) para inspeccionar el tráfico de entrada y bloquear solicitudes sospechosas. Monitorear los registros del servidor en busca de actividad inusual relacionada con la carga de modelos también puede ayudar a detectar posibles ataques.
Actualice vLLM a la versión 0.14.0 o superior. Esto corrige la vulnerabilidad de ejecución remota de código al cargar modelos con código malicioso. Asegúrese de que la instalación se realiza desde una fuente confiable.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-22807 is a Remote Code Execution vulnerability in vLLM versions up to 0.13.0, allowing attackers to execute code during model loading.
You are affected if you are using vLLM versions 0.13.0 or earlier and load models from untrusted sources.
Upgrade vLLM to version 0.14.0 or later. Restrict model repository access to trusted sources as an interim measure.
There is currently no public evidence of active exploitation, but the vulnerability's impact warrants immediate remediation.
Refer to the vLLM project's official security advisories and release notes on their GitHub repository or website.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.