python · vllmCrítico
vllm: Autenticação Bypassada via Servidor Web ASGI
Uma vulnerabilidade em servidores web ASGI e na confiança do starlette nesses servidores permite bypass da autenticação do middleware AuthenticationMiddleware d
O que mudou
Uma vulnerabilidade em servidores web ASGI e na confiança do starlette nesses servidores permite bypass da autenticação do middleware AuthenticationMiddleware da API OpenAI, possibilitando uso da API sem fornecer a VLLM_API_KEY ou --api-key configurados.
Quem isso afeta
Instâncias do vllm que usam uma chave de API para a API OpenAI e expõem a API a atacantes. Instâncias atrás de um servidor web conforme RFC (como nginx) não são afetadas.
O que fazer hoje
Atualize o vllm para uma versão corrigida ou garanta que a API esteja atrás de um servidor web conforme RFC, como nginx.
A esteira
Coletado→
Auditado→
Redigido→
Publicado