JVN iPedia http://jvndb.jvn.jp Advisory JVNDB-2026-008011 vLLMは大規模言語モデル（LLM）の推論およびサービングエンジンです。修正されたSSRF保護においてURL解析に不整合が残り、load_from_url_asyncメソッドで回避可能な問題が存在します。SSRF保護はurllib3を使用していますが、実際のHTTPクライアントは異なるライブラリを使用しているため、この違いによって脆弱性が発生します。 cpe:/a:vllm:vllm https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-008011.html Common Vulnerabilities and Exposures (CVE) CVE-2026-25960 https://www.cve.org/CVERecord?id=CVE-2026-25960 National Vulnerability Database (NVD) CVE-2026-25960 https://nvd.nist.gov/vuln/detail/CVE-2026-25960 GitHub SSRF Protection Bypass in vLLM Advisory vllm-project/vllm GitHub https://github.com/vllm-project/vllm/security/advisories/GHSA-v359-jj2v-j536 JVNDB CWE-918 https://cwe.mitre.org/data/definitions/918.html 関連文書 [Core] Fix SSRF bypass via backslash-@ URL parsing inconsistency (#34… vllm-project/vllm@6f3b204 GitHub https://github.com/vllm-project/vllm/commit/6f3b2047abd4a748e3db4a68543f8221358002c0 関連文書 [Core] Fix SSRF bypass via backslash-@ URL parsing inconsistency by russellb Pull Request #34743 vllm-project/vllm GitHub https://github.com/vllm-project/vllm/pull/34743 2026-03-23T13:43:41+09:00 2026-03-23T13:43:41+09:00