UNKNOWNCVE-2026-27893
CVE-2026-27893: vllmのRCE脆弱性 - trust_remote_code問題
プラットフォーム
python
コンポーネント
vllm
修正バージョン
0.18.0
CVE-2026-27893は、vllmに存在するリモートコード実行 (RCE)の脆弱性です。`trust_remote_code=True`がハードコードされているため、ユーザーが`--trust-remote-code=False`を設定していても、悪意のあるモデルリポジトリからコードが実行される可能性があります。影響を受けるバージョンは0.17.1以下です。この脆弱性は、バージョン0.18.0で修正されました。
修正方法
vLLM をバージョン 0.18.0 以降にアップデートしてください。これにより、ユーザーがリモートコードの信頼を明示的に無効にしている場合でも、`trust_remote_code=True` でモデルをロードする際にリモートコード実行を可能にする脆弱性が修正されます。
よくある質問
CVE-2026-27893とは何ですか?
CVE-2026-27893は、vllmにおけるリモートコード実行 (RCE)の脆弱性です。`trust_remote_code=True`がハードコードされていることが原因です。
影響を受ける可能性はありますか?
バージョン0.17.1以下のvllmを使用している場合は、この脆弱性の影響を受ける可能性があります。
どのように修正すればよいですか?
vllmをバージョン0.18.0以降にアップデートすることで、この脆弱性を修正できます。