JVN iPedia http://jvndb.jvn.jp Advisory JVNDB-2026-009530 vLLMは大規模言語モデル（LLM）の推論およびサービングエンジンです。バージョン0.10.1から0.18.0未満の間に、2つのモデル実装ファイルがサブコンポーネントを読み込む際に`trust_remote_code=True`をハードコードしており、ユーザーが明示的に`--trust-remote-code=False`で設定したセキュリティのオプトアウトを回避していました。これにより、ユーザーがリモートコードの信頼を明示的に無効化していても、悪意のあるモデルリポジトリを介してリモートコードが実行される可能性がありました。バージョン0.18.0でこの問題は修正されています。 cpe:/a:vllm:vllm https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-009530.html Common Vulnerabilities and Exposures (CVE) CVE-2026-27893 https://www.cve.org/CVERecord?id=CVE-2026-27893 National Vulnerability Database (NVD) CVE-2026-27893 https://nvd.nist.gov/vuln/detail/CVE-2026-27893 GitHub Hardcoded trust_remote_code=True in NemotronVL and KimiK25 bypasses user security opt-out Advisory vllm-project/vllm GitHub https://github.com/vllm-project/vllm/security/advisories/GHSA-7972-pg2x-xr59 JVNDB CWE-693 https://cwe.mitre.org/data/definitions/693.html 関連文書 [Security] Respect user trust_remote_code setting in NemotronVL and KimiK25 by russellb Pull Request #36192 vllm-project/vllm GitHub https://github.com/vllm-project/vllm/pull/36192 関連文書 [Security] Respect user trust_remote_code setting in NemotronVL and K… vllm-project/vllm@00bd08e GitHub https://github.com/vllm-project/vllm/commit/00bd08edeee5dd4d4c13277c0114a464011acf72 2026-04-01T11:33:31+09:00 2026-04-01T11:33:31+09:00