一、背景介绍
近日,监测到官方修复vLLM存在远程代码执行漏洞(CVE-2025-32444)。
1.1漏洞描述
vLLM是一个快速且易于使用的LLM推理和服务库,Mooncake是开源的大模型推理架构,采用以KVCache为中心的分布式架构,通过分离预填充和解码集群,充分利用GPU集群中未充分利用的CPU、DRAM和SSD资源,实现高效的KVCache缓存。
当vLLM配置为使用Mooncake时,其使用基于pickle的序列化,并通过不安全的ZeroMQ套接字进行传输,受影响的套接字被设置为监听所有网络接口,攻击者可能利用该漏洞访问ZeroMQ套接字并实施攻击。该产品主要使用行业分布广泛,漏洞危害性高,建议尽快做好自查及防护。
1.2漏洞编号
CVE-2025-32444
1.3漏洞等级
严重
二、修复建议
2.1受影响版本
0.6.5 <= vLLM < 0.8.5
2.2修复建议
官方已发布修复方案,建议及时更新至对应安全版本。
官方下载地址:
https://github.com/vllm-project/vllm/releases