vLLM高危漏洞可致远程代码执行(CVE-2025-62164)
💡
原文中文,约800字,阅读约需2分钟。
📝
内容提要
2025年11月24日,vLLM披露了高危漏洞CVE-2025-62164,影响0.10.2及后续版本。攻击者可通过恶意提示导致服务器崩溃或执行任意代码。漏洞源于Completions API的验证不足,建议受影响组织立即升级并审计接口。
🎯
关键要点
- 2025年11月24日,vLLM披露了高危漏洞CVE-2025-62164。
- 该漏洞影响vLLM 0.10.2及后续版本,CVSS评分为8.8分。
- 攻击者可通过恶意提示导致服务器崩溃或执行任意代码。
- 漏洞源于Completions API在反序列化用户提供的嵌入时验证不足。
- 恶意构造的张量可绕过内部边界检查,触发越界内存写入。
- 越界写入可能导致服务器崩溃和任意代码执行。
- 相关补丁已通过#27204号合并请求发布。
- 建议受影响组织立即升级版本并审计所有对外开放的模型服务接口。
🏷️
标签
➡️
