7*24小时服务热线   021-20685566
it-support@shanghaitech.edu.cn

关于vLLM存在远程代码执行漏洞(CVE-2025-29783)的风险提示

日期:2025-03-26文章来源:图书信息中心

一、背景介绍

近日,监测到官方修复vLLM远程代码执行漏洞(CVE-2025-29783)。

1.1漏洞描述

VLLM是由 SKYPILOT构建的推理和服务的开源的大模型推理加速框架,旨在提高 LLM在 GPU上运行的效率。

当 vLLM配置为使用 Mooncake时,所有网络接口上直接通过ZMQ/TCP暴露的不安全反序列化将允许攻击者在分布式主机上执行远程代码。

1.2漏洞编号

CVE-2025-29783

1.3漏洞等级

高危

二、修复建议

2.1受影响版本

0.6.5 <= vLLM < 0.8.0

2.2修复建议

建议尽快升级至 vLLM 0.8.0

升级前,请备份相关数据,按照官方文档进行操作。

参考信息网站:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-29783