vLLM高危漏洞可致远程代码执行(CVE-2025-62164)
原文中文,约800字,阅读约需2分钟。
📝
内容提要
2025年11月24日,vLLM披露了高危漏洞CVE-2025-62164,影响0.10.2及后续版本。攻击者可通过恶意提示导致服务器崩溃或执行任意代码。漏洞源于Completions API的验证不足,建议受影响组织立即升级并审计接口。
🎯
关键要点
-
2025年11月24日,vLLM披露了高危漏洞CVE-2025-62164。
-
该漏洞影响vLLM 0.10.2及后续版本,CVSS评分为8.8分。
-
攻击者可通过恶意提示导致服务器崩溃或执行任意代码。
-
漏洞源于Completions API在反序列化用户提供的嵌入时验证不足。
-
恶意构造的张量可绕过内部边界检查,触发越界内存写入。
-
越界写入可能导致服务器崩溃和任意代码执行。
-
相关补丁已通过#27204号合并请求发布。
-
建议受影响组织立即升级版本并审计所有对外开放的模型服务接口。
🏷️
