一、背景介绍
近日,监测到官方修复vLLM远程代码执行漏洞(CVE-2025-29783)。
1.1漏洞描述
VLLM是由 SKYPILOT构建的推理和服务的开源的大模型推理加速框架,旨在提高 LLM在 GPU上运行的效率。
当 vLLM配置为使用 Mooncake时,所有网络接口上直接通过ZMQ/TCP暴露的不安全反序列化将允许攻击者在分布式主机上执行远程代码。
1.2漏洞编号
CVE-2025-29783
1.3漏洞等级
高危
二、修复建议
2.1受影响版本
0.6.5 <= vLLM < 0.8.0
2.2修复建议
建议尽快升级至 vLLM 0.8.0
升级前,请备份相关数据,按照官方文档进行操作。
参考信息网站:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-29783