CRITICAL🇵🇱 Wersja polska

CVE-2026-48746

CVSS 9.1v3.1pub. 2026-06-22upd. 2026-06-30

vLLM is an inference and serving engine for large language models (LLMs). From 0.3.0 until 0.22.0, a vulnerability in ASGI web servers and starlette's trust on those web servers enables an authentication bypass of the OpenAI API AuthenticationMiddleware. It allows to use the API without providing the configured VLLM_API_KEY or --api-key. This vulnerability is fixed in 0.22.0.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
  • Vllm

    APP
    Vllm
    0.3.0 – 0.22.0 (bez)
🔵
CHECK WITH VENDOR
No clear patch data available. Check vendor references.
Tags
Auth Bypass
CWE
References

Related vulnerabilities

CVE-2026-22778CRITICAL9.8PL ✓ten sam produkt

vLLM: wyciek adresu sterty umożliwiający RCE przez endpoint multimodalny

CVE-2025-47277CRITICAL9.8PL ✓ten sam produkt

vLLM: niezamierzone nasłuchiwanie TCPStore na wszystkich interfejsach sieciowych

CVE-2025-32444CRITICAL10.0PL ✓ten sam produkt

RCE w vLLM poprzez deserializację pickle na niezabezpieczonych gniazdach ZeroMQ

CVE-2024-11041CRITICAL9.8PL ✓ten sam produkt

RCE przez niebezpieczną deserializację w vllm MessageQueue.dequeue()

CVE-2025-29783CRITICAL9.0PL ✓ten sam produkt

RCE przez niebezpieczną deserializację w vLLM z Mooncake (ZMQ/TCP)

CVE-2026-48746 — Vllm — CRITICAL — CVSS 9.1 | CVEbaza.pl