vLLM - это движок для больших языковых моделей (LLM). Защитное исправление SSRF для CVE-2026-24779 добавления в 0.15.1 может быть обойдено …
vLLM - это движок для больших языковых моделей (LLM). Защитное исправление SSRF для CVE-2026-24779 добавления в 0.15.1 может быть обойдено в методе load_from_url_async из-за непоследовательного поведения по сравнению с URL-адресом между уровнем проверки и фактическим HTTP-клиентом. Исправление SSRF использует urllib3.util.parse_url() для проверки и извлечения имени хоста из предоставленных пользователем URL-адресов. Тем не менее, load_from_url_async использует aiohttp для создания фактических HTTP-запросов, а aiohttp внутренне использует библиотеку ярлов для разбора URL. Эта уязвимость в 0.17.0.
Веб-сервер получает URL или аналогичный запрос от вышестоящего компонента и извлекает содержимое по этому URL, однако не обеспечивает в достаточной мере, что запрос направляется к ожидаемому адресату.
https://cwe.mitre.org/data/definitions/918.html →Открыть в коллекции CWE →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/664.html →Открыть в коллекции CAPEC →