JVN iPedia http://jvndb.jvn.jp Advisory JVNDB-2026-011966 vLLMは大規模言語モデル（LLM）の推論およびサービングエンジンです。バージョン0.16.0から0.19.0未満の間、download_bytes_from_urlにサーバーサイドリクエストフォージェリ（SSRF）の脆弱性が存在しました。バッチ入力JSONを制御できる攻撃者はvLLMバッチランナーに対して任意のHTTP/HTTPSリクエストをサーバーから発行させることができました。この脆弱性はURLの検証やドメイン制限が行われていませんでした。そのため、vLLMホストから到達可能な内部サービス（例：クラウドのメタデータエンドポイントや内部HTTP API）を標的にすることが可能でした。この脆弱性はバージョン0.19.0で修正されました。 cpe:/a:vllm:vllm https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-011966.html Common Vulnerabilities and Exposures (CVE) CVE-2026-34753 https://www.cve.org/CVERecord?id=CVE-2026-34753 National Vulnerability Database (NVD) CVE-2026-34753 https://nvd.nist.gov/vuln/detail/CVE-2026-34753 GitHub Server-Side Request Forgery (SSRF) in `download_bytes_from_url ` Advisory vllm-project/vllm GitHub https://github.com/vllm-project/vllm/security/advisories/GHSA-pf3h-qjgv-vcpr JVNDB CWE-918 https://cwe.mitre.org/data/definitions/918.html 2026-04-21T10:47:19+09:00 2026-04-21T10:47:19+09:00