vLLM vulnerable to timing attack at bearer auth

La validación de clave API de vLLM es vulnerable a ataques de timing, donde un atacante puede adivinar la clave API carácter por carácter midiendo cuánto tiempo tarda el servidor en rechazar cada intento. Esto permite que los atacantes eludan la autenticación y obtengan acceso no autorizado al servicio de LLM.

La validación de clave API en vLLM utiliza comparación de cadenas con variación temporal basada en la cantidad de caracteres correctos coincidentes, habilitando un ataque de timing side-channel. Un atacante puede determinar iterativamente cada carácter de la clave API analizando tiempos de respuesta en múltiples intentos de autenticación, resultando en bypass de autenticación y acceso no autorizado a la API.