प्लेटफ़ॉर्म
python
घटक
vllm
में ठीक किया गया
0.14.2
0.14.1
CVE-2026-24779 vLLM प्रोजेक्ट के मल्टीमॉडल फीचर सेट में MediaConnector क्लास में एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है। यह भेद्यता हमलावरों को आंतरिक नेटवर्क संसाधनों तक पहुँचने की अनुमति देती है। यह भेद्यता vLLM के संस्करण 0.9.2 और उससे पहले के संस्करणों को प्रभावित करती है। 28 जनवरी, 2026 को प्रकाशित, इस समस्या को vLLM संस्करण 0.14.1 में ठीक कर दिया गया है।
यह SSRF भेद्यता हमलावरों को vLLM सर्वर के माध्यम से मनमाने अनुरोध करने की अनुमति देती है, जिससे आंतरिक नेटवर्क संसाधनों तक अनधिकृत पहुँच हो सकती है। हमलावर आंतरिक सेवाओं, डेटाबेस या अन्य संवेदनशील प्रणालियों को लक्षित कर सकते हैं जो सीधे बाहरी दुनिया के लिए उजागर नहीं हैं। बैकस्लैश के अलग-अलग व्याख्या के कारण होस्टनाम प्रतिबंध को बायपास किया जा सकता है, जिससे हमलावर आंतरिक नेटवर्क पर मनमाने अनुरोध भेज सकते हैं। यह भेद्यता डेटा उल्लंघनों, सिस्टम समझौता और अन्य दुर्भावनापूर्ण गतिविधियों का कारण बन सकती है।
CVE-2026-24779 को अभी तक KEV में शामिल नहीं किया गया है। EPSS स्कोर उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है। यह भेद्यता 28 जनवरी, 2026 को प्रकाशित हुई थी।
Organizations deploying vLLM for multimodal applications, particularly those with internal services accessible over the network, are at risk. Environments utilizing older versions of vLLM (≤0.9.2) without proper network segmentation or WAF protection are especially vulnerable.
• python / server:
import os
import requests
def check_ssrf(url):
try:
response = requests.get(url, timeout=5)
print(f"URL {url} responded with status code: {response.status_code}")
except requests.exceptions.RequestException as e:
print(f"Error accessing {url}: {e}")
# Example usage - check for internal resource access
check_ssrf("http://localhost:8080/admin")disclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (4% शतमक)
CISA SSVC
vLLM को संस्करण 0.14.1 में अपग्रेड करना इस भेद्यता को ठीक करने का सबसे प्रभावी तरीका है। यदि अपग्रेड संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके आउटगोइंग अनुरोधों को प्रतिबंधित करने पर विचार करें। यह सुनिश्चित करें कि loadfromurl और loadfromurl_async विधियों में उपयोग किए जाने वाले URL इनपुट को सख्ती से मान्य किया गया है। अतिरिक्त सुरक्षा के लिए, आंतरिक नेटवर्क संसाधनों तक पहुँच को सीमित करने के लिए नेटवर्क सेगमेंटेशन लागू करें। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, आंतरिक संसाधनों तक अनधिकृत पहुँच के प्रयास की जाँच करें।
vLLM लाइब्रेरी को संस्करण 0.14.1 या उच्चतर में अपडेट करें। यह `MediaConnector` वर्ग में SSRF भेद्यता को ठीक करता है। आप `pip install vllm==0.14.1` या एक नए संस्करण का उपयोग करके अपडेट कर सकते हैं।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-24779 vLLM के मल्टीमॉडल फीचर सेट में एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है, जो हमलावरों को आंतरिक नेटवर्क संसाधनों तक पहुँचने की अनुमति देती है।
यदि आप vLLM के संस्करण 0.9.2 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
vLLM को संस्करण 0.14.1 में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो WAF या प्रॉक्सी का उपयोग करके आउटगोइंग अनुरोधों को प्रतिबंधित करें।
हालांकि सार्वजनिक PoC ज्ञात नहीं हैं, भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है।
आधिकारिक सलाहकार के लिए vLLM प्रोजेक्ट की वेबसाइट या GitHub रिपॉजिटरी देखें।
CVSS वेक्टर
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।