一、背景介绍
近日,监测到官方修复vLLM 远程代码执行漏洞(CVE-2025-29783)。
1.1漏洞描述 VLLM 是由 SKYPILOT 构建的推理和服务的开源的大模型推理加速框架,旨在提高 LLM 在 GPU 上运行的效率。 当 vLLM 配置为使用 Mooncake 时,所有网络接口上直接通过ZMQ/TCP 暴露的不安全反序列化将允许攻击者在分布式主机上执行远程代码。
1.2漏洞编号 CVE-2025-29783
1.3漏洞等级 高危
二、修复建议
2.1受影响版本 0.6.5 <= vLLM < 0.8.0 2.2修复建议 建议尽快升级至 vLLM 0.8.0 升级前,请备份相关数据,按照官方文档进行操作。 参考信息网站: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-29783