Uma falha critica no vLLM, ferramenta muito usada para colocar modelos de linguagem em producao, acendeu um alerta porque pode permitir que criminosos assumam o controle de servidores de IA a distancia. O problema, identificado como CVE-2026-22778, atinge as versoes 0.8.3 ate 0.14.0 e pode ser explorado quando um atacante envia um link de video malicioso para um ponto da API usado por recursos multimodais. Na pratica, isso abre caminho para executar comandos no servidor, com risco de roubo de dados, movimentacao para outros sistemas e comprometimento mais amplo, principalmente quando a API fica exposta na internet e sem barreiras adicionais. A gravidade aumenta porque o vLLM tem grande adocao e costuma rodar em ambientes de alta carga, muitas vezes em clusters com GPU, o que amplia o impacto de um unico servidor afetado. A correcao foi publicada na versao 0.14.1, que tambem atualiza componentes de decodificacao de midia envolvidos no cenario descrito. Como prevencao, atualize imediatamente para o vLLM 0.14.1 e revise quais endpoints multimodais estao acessiveis externamente. Se nao for possivel atualizar agora, desative temporariamente o suporte a video em producao e limite o acesso a API. No geral, o caso mostra como bibliotecas de midia podem virar porta de entrada em pilhas de IA; para reduzir riscos, conheca os servicos da LC SEC (Pentest, Threat Intelligence com IA, Auditoria Interna, Conscientizacao, Plano Diretor de Seguranca e SGSI) em lcsec.io
Fontes: The Cyber Express (https://thecyberexpress.com/cve-2026-22778-vllm-rce-malicious-video-link/)
Fontes: The Cyber Express (https://thecyberexpress.com/cve-2026-22778-vllm-rce-malicious-video-link/)
Compartilhe nas redes sociais:
