vLLMに複数の脆弱性(CVE-2026-54234 ほか3件)、修正版0.24.0が公開

vLLMに4件の脆弱性が公表、修正版0.24.0への更新で対応が可能に

公開: 更新:
CodeCampが提供するDX人材育成が可能なプログラミングやITが学べる公開講座

大規模言語モデル(LLM)の推論を高速に行う推論エンジンのvLLMに、4件の脆弱性(CVE)が公表されました。影響範囲と修正版、CVEの一覧をまとめて確認できるよう整理します。



vLLMの複数脆弱性 3行まとめ

今回公表された脆弱性の要点を、先に3点へまとめました。

  • vLLMに4件の脆弱性が公表
  • 修正版0.24.0が公開済み
  • 影響を受ける版の利用者は更新を推奨

本記事の確認・更新手順は一般的な例です。実際の対応は、利用している構成や依存関係、権限設定、運用ルールによって異なります。

作業の前に必ずバックアップを取得し、検証環境で影響を確認したうえで、各自の責任で実施してください。

影響を受けるvLLMのバージョンと修正版

今回の脆弱性群が影響するバージョンと修正版は、以下の通りです。影響範囲はCVEごとに異なるため、正確な範囲は各アドバイザリで確認してください。

項目 内容
影響バージョン 0.12系・0.22系・0.24系(範囲はCVEごとに異なる・各アドバイザリ参照)
修正版 0.24.0
推奨更新先 4件すべてを含む0.24.0以降

vLLMで公表された脆弱性の種類と仕組み

今回のアドバイザリは、原因の異なる4件の問題をまとめて扱っています。いずれも最終的には可用性、つまりサービスの継続に影響しうる点が共通します。

サービス停止(DoS)を狙える脆弱性(3件)

サービス運用妨害(DoS)は、過剰な負荷や異常な入力でサービスを継続できない状態へ追い込む攻撃です。次の3件は、外部から届く入力の処理に起因します。


Python研修一覧はこちら

目的に合うPython研修を一覧形式から探したい方は、ぜひご利用ください。

Python研修を比較する

Java研修一覧はこちら

目的に合うJava研修を一覧形式から探したい方は、ぜひご利用ください。

Java研修を比較する

PHP研修一覧はこちら

目的に合うPHP研修を一覧形式から探したい方は、ぜひご利用ください。

PHP研修を比較する

新入社員研修

目的に合う新入社員研修を一覧形式から探したい方は、ぜひご利用ください。

新入社員研修を比較する

全ての研修からも探したい方はこちら
  • CVE-2026-55514 到達可能なアサーション
  • CVE-2026-55574 非効率な正規表現(ReDoS)
  • CVE-2026-55646 リソースの過剰消費

CVE-2026-55514は、特定の入力でアサーション(処理前提のチェック)に到達し、処理が止まる問題です。CVE-2026-55574は、正規表現の処理時間が入力次第で急増するReDoSと呼ばれる種類にあたります。

CVE-2026-55646は、リソースの消費が制御されず枯渇へ至る恐れがあります。攻撃条件や対象の機能は、各アドバイザリで確認してください。

入力値の扱いに起因する脆弱性(1件)

残る1件も、外部入力の検証が不十分な問題に分類されます。内部処理での値の扱いが起点となり、ワーカーの停止につながる恐れがあります。

  • CVE-2026-54234 指定数量の不適切な検証
  • 分類 CWE-1284

単純な数値パラメータの問題ではなく、内部処理での境界値の扱いに起因します。詳細な攻撃条件は、JVNDBとベンダ公式のアドバイザリで公開されました。

vLLMで公表された脆弱性一覧(CVE 4件)

今回まとめて公表された4件のCVEを一覧にまとめました。深刻度はJVNDBとベンダ公式で評価が分かれ、採用するCVSSの版が異なる場合もあります。

CVE番号 種類(CWE) 深刻度(CVSS) 修正版
CVE-2026-54234 指定数量の不適切な検証(CWE-1284) JVNDB 7.5/ベンダ 7.5 0.24.0
CVE-2026-55514 到達可能なアサーション(CWE-617) JVNDB 6.5/ベンダ 7.1 0.24.0
CVE-2026-55574 非効率な正規表現(CWE-1333) JVNDB 7.5/ベンダ 8.7 0.24.0
CVE-2026-55646 リソースの過剰消費(CWE-400) JVNDB 6.5/ベンダ 6.5 0.24.0

Python基礎・実践(Django)

企業・法人向けのPython研修では、基礎から応用まで体系的に学べます。

Python研修の詳細

DX社員研修

企業・法人向けのDX研修では、実務に繋がるリスキリングでITレベルを向上させます。

DX研修の詳細

Javaエンジニア育成研修

企業・法人向けのJavaエンジニア育成研修では、Javaの基礎から応用まで確実に習得できます。

Java研修の詳細

新卒・新入社員向け研修

企業・法人に新入社員・新卒社員に向けたプログラミング研修を提供しています。

新入社員研修の詳細

コードキャンプのIT研修を全て見る

深刻度とCWEの分類は、評価主体によって差が出る場合があります。正確な値は各出典で確認してください。

vLLMを修正版へ更新する対応手順

対象バージョンを利用している場合の対応を、優先度の高い順にまとめました。まず利用中のバージョンを確認します。

次のコマンドは利用中のvLLMのバージョンを表示するだけで、変更は加えません。

pip show vllm

表示された番号が影響範囲に含まれる場合は、更新が必要です。

  1. 上で表示したpip show vllmの番号を影響バージョンの表と照合し、含まれるかを確認する
  2. 影響を受ける機能を実際に使用しているかを各アドバイザリで確認する
  3. 修正版0.24.0以降へ更新する
  4. 直ちに更新できない場合は公式が回避策を示していれば適用する

恒久的な対策は修正版への更新です。次のコマンドはvLLMを最新版へ更新するため、実行前に必ずバックアップを取得してください。

pip install -U vllm

更新後は、次のコマンドでバージョンを確認できます。このコマンドはバージョンを表示するだけで、変更は加えません。

python -c "import vllm; print(vllm.__version__)"

複数のCVEが修正版0.24.0でまとめて解消されるため、個別ではなく一括で対応できます。

trends編集部の一言

同一製品で4件のCVEが同時に公表される場合でも、多くは修正版へまとめて対応できます。まずは依存関係に含まれるか、影響する機能を使っているかの確認から始めると判断しやすくなるはずです。

今回の4件は可用性への影響が中心で、外部にAPIを公開している構成ほど注意が要ります。更新の計画とあわせて、リクエストサイズの制限やタイムアウト、ワーカーの監視など多層の備えも見直しておきたいところです。

References

  1. ^ JVNDB. 「vLLMにおける複数の脆弱性」. https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-022836.html, (参照 26-07-10).
  2. ^ JVNDB. 「vLLMにおける到達可能なアサーションに関する脆弱性」. https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-022824.html, (参照 26-07-10).
  3. ^ JVNDB. 「vLLMにおける非効率的な正規表現の複雑さに関する脆弱性」. https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-022823.html, (参照 26-07-10).
  4. ^ JVNDB. 「vLLMにおける複数の脆弱性」. https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-022822.html, (参照 26-07-10).
  5. ^ ベンダ公式. 「vLLM セキュリティアドバイザリ(GHSA-8wr5-jm2h-8r4f)」. https://github.com/vllm-project/vllm/security/advisories/GHSA-8wr5-jm2h-8r4f, (参照 26-07-10).
  6. ^ ベンダ公式. 「vLLM セキュリティアドバイザリ(GHSA-33cg-gxv8-3p8g)」. https://github.com/vllm-project/vllm/security/advisories/GHSA-33cg-gxv8-3p8g, (参照 26-07-10).
  7. ^ ベンダ公式. 「vLLM セキュリティアドバイザリ(GHSA-rwxx-mrjm-wc2m)」. https://github.com/vllm-project/vllm/security/advisories/GHSA-rwxx-mrjm-wc2m, (参照 26-07-10).
  8. ^ NVD. 「CVE-2026-54234 Detail」. https://nvd.nist.gov/vuln/detail/CVE-2026-54234, (参照 26-07-10).
  9. ^ NVD. 「CVE-2026-55514 Detail」. https://nvd.nist.gov/vuln/detail/CVE-2026-55514, (参照 26-07-10).
  10. ^ NVD. 「CVE-2026-55574 Detail」. https://nvd.nist.gov/vuln/detail/CVE-2026-55574, (参照 26-07-10).
  11. ^ NVD. 「CVE-2026-55646 Detail」. https://nvd.nist.gov/vuln/detail/CVE-2026-55646, (参照 26-07-10).

※本記事は一次情報(JVNDB・ベンダ公式・NVD)を基に編集しています。内容はAIで確認していますが、誤りや最新情報との差異がある場合はコメントよりご報告ください。

※上記コンテンツの内容やソースコードはAIで確認・デバッグしておりますが、間違いやエラー、脆弱性などがある場合は、コメントよりご報告いただけますと幸いです。

ITやプログラミングに関するコラム


ITやプログラミングに関するニュース

ブログに戻る

コメントを残す

コメントは公開前に承認される必要があることにご注意ください。

企業・法人向けのIT・プログラミング・生成AI研修を探す、比較する - IT・プログラミングを知って学べるコネクトメディア CodeCampが提供するDX人材育成が可能なプログラミングやITが学べる公開講座 - IT・プログラミングを知って学べるコネクトメディア コードキャンプが提供する無料で学べるプログラミングスクール講座 - IT・プログラミングを知って学べるコネクトメディア コードキャンプDX人材育成研修 - IT・プログラミングを知って学べるコネクトメディア 3.5日の研修で、年間1,600時間の削減効果が見込まれる。東京きらぼしフィナンシャルグループのDX人材育成事例 - IT・プログラミングを知って学べるコネクトメディア 配属3ヶ月で30%の生産性向上を実現するいよぎんコンピュータサービスの新人研修に迫る - IT・プログラミングを知って学べるコネクトメディア 金融業界の業務効率化を加速するニッセイアセットマネジメントの生成AI×GAS活用研修事例 - IT・プログラミングを知って学べるコネクトメディア 【製造業のDX人材育成事例】デジタル人材の即戦力化を実現する、日本ガイシ株式会社の異動者向オンボーディング研修 - ITやプログラミングを知って学べるコネクトメディア フューチャーアーキテクト株式会社が実現した新入社員向けIT研修プログラムでタスクフォース制度が主体的な学びと成長を生み出す - IT・プログラミングを知って学べるコネクトメディア コードキャンプDX人材育成研修 - IT・プログラミングを知って学べるコネクトメディア コードキャンプIT・プログラミング研修事例/【IT新入社員研修】オンラインとオフラインの最適バランスを実現したFutureOneの導入事例 - IT・プログラミングを知って学べるコネクトメディア コードキャンプIT・プログラミング研修事例/【新入社員研修】柔軟なハイブリッド型Java研修で実現した新卒20名の成長と成果|サークレイス株式会社 - ITやプログラミングを知って学べるコネクトメディア コードキャンプIT・プログラミング研修事例/現場により近いところにデジタルを根付かせるDX基礎講座研修|株式会社ブリヂストン - ITやプログラミングを知って学べるコネクトメディア コードキャンプIT・プログラミング研修事例/業務の効率化・DX推進に向けたIT人材育成への第一歩|株式会社カナエ - ITやプログラミングを知って学べるコネクトメディア 企業・法人向けのIT・プログラミング研修 - ITやプログラミングを知って学べるコネクトメディア

新着記事

対象者別で探す

子供(小学生・中学生・高校生)向け
プログラミング教室検索する

子供(小学生・中学生・高校生)がロボットやプログラミング言語を学ぶことができるオフラインからオンラインスクールを検索、比較することが可能です。

子供(小学生・中学生・高校生)
プログラミング教室検索する

ITやプログラムなどの
最新情報を検索する

日々、新しいITやプログラミング言語の情報が流れていきますが、特定の情報を時系列でニュースやコラムを確認することができます。

ITやプログラムなどの
最新情報を検索する