CRITICAL🇬🇧 English

CVE-2026-22778

vLLM: wyciek adresu sterty umożliwiający RCE przez endpoint multimodalny

CVSS 9.8v3.1pub. 2026-02-02upd. 2026-06-29

W silniku wnioskowania vLLM (wersje od 0.8.3 do przed 0.14.1) błędnie przetworzone żądanie z nieprawidłowym obrazem powoduje wyciek adresu sterty do klienta, skutecznie redukując ochronę ASLR. Podatność może być łączona z przepełnieniem sterty w dekoderze JPEG2000 (OpenCV/FFmpeg), co prowadzi do zdalnego wykonania kodu (RCE).

Pokaż oryginał (EN)

vLLM is an inference and serving engine for large language models (LLMs). From 0.8.3 to before 0.14.1, when an invalid image is sent to vLLM's multimodal endpoint, PIL throws an error. vLLM returns this error to the client, leaking a heap address. With this leak, we reduce ASLR from 4 billion guesses to ~8 guesses. This vulnerability can be chained a heap overflow with JPEG2000 decoder in OpenCV/FFmpeg to achieve remote code execution. This vulnerability is fixed in 0.14.1.

🤖 Analiza AI
Jak działa

Gdy do multimodalnego endpointu vLLM zostaje przesłany nieprawidłowy obraz, biblioteka PIL zgłasza wyjątek, który vLLM zwraca bezpośrednio do klienta — ujawniając w treści błędu adres obszaru sterty procesu (CWE-532: wyciek wrażliwych danych do logów/odpowiedzi). Znając adres sterty, atakujący redukuje przestrzeń losowości ASLR z około 4 miliardów możliwości do zaledwie około 8. Uzyskana w ten sposób wiedza o układzie pamięci pozwala niezawodnie przeprowadzić drugi etap ataku — exploit wykorzystujący przepełnienie sterty (heap overflow) w dekoderze JPEG2000 dostępnym przez OpenCV lub FFmpeg. Połączenie obu technik umożliwia zdalne wykonanie dowolnego kodu bez jakiegokolwiek uwierzytelnienia.

Skutki

Nieuwierzytelniony atakujący zdalny może uzyskać pełną kontrolę nad procesem vLLM, co prowadzi do poufności, integralności i dostępności systemu — w tym potencjalnego przejęcia hosta obsługującego modele LLM.

Mitygacja

Należy zaktualizować vLLM do wersji 0.14.1 lub nowszej, w której podatność została naprawiona. Szczegóły dostępne w oficjalnych referencjach projektu oraz advisory GHSA-4r2x-xpjr-7cvv.

Kogo dotyczy

vLLM w wersjach od 0.8.3 do 0.14.0 (włącznie) — wyłączone są instalacje korzystające z multimodalnych endpointów przyjmujących obrazy.

Uwagi

Podatność wymaga dwuetapowego ataku: najpierw wykorzystania wycieku adresu sterty (do obejścia ASLR), a następnie przepełnienia sterty w dekoderze JPEG2000 (OpenCV/FFmpeg). Oba etapy są inicjowane zdalnie bez uwierzytelnienia. Poprawka dostępna w vLLM 0.14.1.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Vllm

    APP
    Vllm
    0.8.3 – 0.14.1 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEMemory
CWE
Referencje

Powiązane podatności

CVE-2026-48746CRITICAL9.1PL ✓ten sam produkt

Pominięcie uwierzytelnienia w vLLM — bypass klucza API OpenAI

CVE-2025-47277CRITICAL9.8PL ✓ten sam produkt

vLLM: niezamierzone nasłuchiwanie TCPStore na wszystkich interfejsach sieciowych

CVE-2025-32444CRITICAL10.0PL ✓ten sam produkt

RCE w vLLM poprzez deserializację pickle na niezabezpieczonych gniazdach ZeroMQ

CVE-2024-11041CRITICAL9.8PL ✓ten sam produkt

RCE przez niebezpieczną deserializację w vllm MessageQueue.dequeue()

CVE-2025-29783CRITICAL9.0PL ✓ten sam produkt

RCE przez niebezpieczną deserializację w vLLM z Mooncake (ZMQ/TCP)