一、背景介绍

近日，监测到官方修复vLLM远程代码执行漏洞(CVE-2025-29783)。

1.1漏洞描述

VLLM是由 SKYPILOT构建的推理和服务的开源的大模型推理加速框架，旨在提高 LLM在 GPU上运行的效率。

当 vLLM配置为使用 Mooncake时，所有网络接口上直接通过ZMQ/TCP暴露的不安全反序列化将允许攻击者在分布式主机上执行远程代码。

1.2漏洞编号

CVE-2025-29783

1.3漏洞等级

高危

二、修复建议

2.1受影响版本

0.6.5 <= vLLM < 0.8.0

2.2修复建议

建议尽快升级至 vLLM 0.8.0

升级前，请备份相关数据，按照官方文档进行操作。

参考信息网站：https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-29783