CRITICAL🇬🇧 English

CVE-2025-29783

RCE przez niebezpieczną deserializację w vLLM z Mooncake (ZMQ/TCP)

CVSS 9.0v3.1pub. 2025-03-19upd. 2025-07-01

W silniku vLLM skonfigurowanym do pracy z Mooncake istnieje krytyczna podatność polegająca na niebezpiecznej deserializacji (CWE-502) eksponowanej bezpośrednio przez ZMQ/TCP na wszystkich interfejsach sieciowych. Umożliwia ona zdalne wykonanie kodu na hostach uczestniczących w rozproszonym środowisku.

Pokaż oryginał (EN)

vLLM is a high-throughput and memory-efficient inference and serving engine for LLMs. When vLLM is configured to use Mooncake, unsafe deserialization exposed directly over ZMQ/TCP on all network interfaces will allow attackers to execute remote code on distributed hosts. This is a remote code execution vulnerability impacting any deployments using Mooncake to distribute KV across distributed hosts. This vulnerability is fixed in 0.8.0.

🤖 Analiza AI
Jak działa

Gdy vLLM jest skonfigurowany z integracją Mooncake (służącą do dystrybucji pamięci podręcznej KV między hostami), dane przesyłane przez protokół ZMQ/TCP są deserializowane w sposób niezabezpieczony bez odpowiedniej walidacji lub uwierzytelnienia. Atakujący mający dostęp do sieci lokalnej (wektor AV:A) może wysłać spreparowany payload do nasłuchującego gniazda ZMQ/TCP, co skutkuje wykonaniem dowolnego kodu na docelowym hoście. Zasięg podatności obejmuje wszystkie interfejsy sieciowe, na których działa usługa.

Skutki

Atakujący może uzyskać pełną kontrolę nad zaatakowanym hostem — osiągając poufność, integralność i dostępność na poziomie krytycznym (C:H/I:H/A:H) — oraz potencjalnie rozprzestrzeniać się na inne węzły w infrastrukturze rozproszonej.

Mitygacja

Należy zaktualizować vLLM do wersji 0.8.0 lub nowszej, w której podatność została usunięta. Dodatkowo, do czasu wdrożenia patcha, zaleca się izolację sieciową hostów vLLM (firewall, segmentacja sieci) tak, aby porty ZMQ/TCP były niedostępne z niezaufanych segmentów sieci.

Kogo dotyczy

Wszystkie wdrożenia vLLM korzystające z integracji Mooncake do dystrybucji pamięci KV między rozproszonymi hostami, w wersjach wcześniejszych niż 0.8.0.

Uwagi

Poprawka dostępna w commicie 288ca110f68d23909728627d3100e5a8db820aa2 oraz pull requeście #14228 w repozytorium vllm-project/vllm.

CVSS Vector
CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Vllm

    APP
    Vllm
    0.6.5 – 0.8.0 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEDeserialization
CWE
Referencje

Powiązane podatności

CVE-2026-48746CRITICAL9.1PL ✓ten sam produkt

Pominięcie uwierzytelnienia w vLLM — bypass klucza API OpenAI

CVE-2026-22778CRITICAL9.8PL ✓ten sam produkt

vLLM: wyciek adresu sterty umożliwiający RCE przez endpoint multimodalny

CVE-2025-47277CRITICAL9.8PL ✓ten sam produkt

vLLM: niezamierzone nasłuchiwanie TCPStore na wszystkich interfejsach sieciowych

CVE-2025-32444CRITICAL10.0PL ✓ten sam produkt

RCE w vLLM poprzez deserializację pickle na niezabezpieczonych gniazdach ZeroMQ

CVE-2024-11041CRITICAL9.8PL ✓ten sam produkt

RCE przez niebezpieczną deserializację w vllm MessageQueue.dequeue()