7*24小时服务热线   021-20685566
it-support@shanghaitech.edu.cn

关于vLLM存在远程代码执行漏洞(CVE-2025-32444)的风险提示

日期:2025-05-09文章来源:图书信息中心

一、背景介绍

近日,监测到官方修复vLLM存在远程代码执行漏洞(CVE-2025-32444)。

1.1漏洞描述

vLLM是一个快速且易于使用的LLM推理和服务库,Mooncake是开源的大模型推理架构,采用以KVCache为中心的分布式架构,通过分离预填充和解码集群,充分利用GPU集群中未充分利用的CPU、DRAM和SSD资源,实现高效的KVCache缓存。

当vLLM配置为使用Mooncake时,其使用基于pickle的序列化,并通过不安全的ZeroMQ套接字进行传输,受影响的套接字被设置为监听所有网络接口,攻击者可能利用该漏洞访问ZeroMQ套接字并实施攻击。该产品主要使用行业分布广泛,漏洞危害性高,建议尽快做好自查及防护。

1.2漏洞编号

CVE-2025-32444

1.3漏洞等级

严重

二、修复建议

2.1受影响版本

0.6.5 <= vLLM < 0.8.5

2.2修复建议

官方已发布修复方案,建议及时更新至对应安全版本。

官方下载地址:https://github.com/vllm-project/vllm/releases