Russellb

**Nome do Software Vulnerável e Versões Afetadas** Versões do vLLM anteriores a 0.11.0rc2 **Descrição** O vLLM é um mecanismo de inferência e serviço para grandes modelos de linguagem (LLMs). O mecanismo de validação de chave de API nas versões anteriores a 0.11.0rc2 é suscetível a um ataque de temporização. A comparação de strings utilizada para validação leva mais tempo à medida que mais caracteres da chave de API fornecida correspondem à chave esperada. Ao analisar o tempo despendido em múltiplas tentativas de validação, um atacante poderia potencialmente determinar os caracteres corretos na sequência da chave, resultando em bypass de autenticação. O processo de validação da chave de API é vulnerável. **Recomendações** Atualize para a versão 0.11.0rc2 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do vLLM de 0.8.0 a 0.9.0 **Descrição** O backend do vLLM utilizado com o endpoint da API "/v1/chat/completions" falha ao validar entradas inesperadas ou malformadas nos campos `pattern` e `type` quando a funcionalidade de ferramentas é invocada. Essas entradas não são validadas antes de serem compiladas ou analisadas, causando uma falha crítica no worker de inferência com uma única solicitação. O worker permanecerá indisponível até ser reiniciado. Espera-se que o campo `type` seja um dos seguintes: "string", "number", "object", "boolean", "array" ou "null". Fornecer qualquer outro valor fará com que o worker falhe criticamente. O campo `pattern` passa por renderização antes de ser passado de forma insegura para o compilador regex nativo sem validação ou escape, permitindo que expressões malformadas alcancem o mecanismo regex C++ subjacente, resultando em erros fatais. **Recomendações** Para as versões de 0.8.0 a 0.9.0, atualize para a versão 0.9.0 para corrigir o problema. Como solução temporária, considere restringir o acesso ao endpoint da API `/v1/chat/completions` ou desativar a funcionalidade de ferramentas até que uma correção esteja disponível. Evite usar os campos `pattern` e `type` no endpoint da API afetado até que o problema seja resolvido.

**Nome do Software Vulnerável e Versões Afetadas** Versões do vLLM de 0.5.2 a 0.8.5 **Descrição** O problema afeta o vLLM, um mecanismo de inferência e serving para LLMs de alta vazão e eficiente em memória. Em uma implantação do vLLM em múltiplos nós, o vLLM utiliza ZeroMQ para alguns fins de comunicação entre nós, abrindo um socket XPUB ZeroMQ e vinculando-o a todas as interfaces. Isso permite que qualquer cliente com acesso à rede se conecte ao socket, a menos que sua porta seja bloqueada por um firewall, e receba informações internas do estado do vLLM. Embora esses dados não sejam úteis para um atacante, conectar-se ao socket várias vezes sem ler os dados publicados pode causar uma negação de serviço, desacelerando ou potencialmente bloqueando o publicador. **Recomendações** Para as versões de 0.5.2 a 0.8.5, atualize para a versão 0.8.5 para resolver o problema. Como solução temporária, considere bloquear a porta usada pelo socket XPUB ZeroMQ para prevenir acesso não autorizado. Restrinja o acesso ao socket ZeroMQ para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Versões do vLLM anteriores a 0.9.0 **Descrição** O problema surge do mecanismo de cache de prefixo no vLLM, o que pode expor o sistema a um ataque de canal lateral de temporização. Quando um novo prompt é processado, se o mecanismo PageAttention encontrar um chunk de prefixo correspondente, o processo de prefill é acelerado, refletido no Tempo para o Primeiro Token (TTFT). As diferenças de temporização causadas por chunks correspondentes são significativas o suficiente para serem identificadas e exploradas, potencialmente levando ao vazamento de informações privadas. Um atacante poderia tentar adivinhar a entrada de uma vítima medindo o TTFT com base em correspondências de prefixo, permitindo-lhes verificar se sua suposição está correta. **Recomendações** Para versões anteriores a 0.9.0, atualize para a versão 0.9.0 para resolver o problema. Como solução temporária, considere ajustar o parâmetro chunk size para minimizar o risco de exploração. Restrinja o acesso a prompts sensíveis e prompts valiosos do sistema para minimizar o risco de vazamento de informações privadas. Evite usar o mecanismo PageAttention com comprimentos de prefixo curtos, pois isso pode aumentar a vulnerabilidade a ataques de canal lateral de temporização.

Name of the Vulnerable Software and Affected Versions: XGrammar versions prior to 0.1.18 Description: The issue concerns an unbounded cache for compiled grammars in memory, which can be exploited to cause a denial of service by filling up a host's memory. This can occur when a system using XGrammar receives many small requests with unique JSON schemas, such as sending multiple requests to an LLM inference server. Recommendations: For versions prior to 0.1.18, update to version 0.1.18 to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** vLLM versions 0.6.5 through 0.8.4 **Description** vLLM, an inference and serving engine for large language models (LLMs), contains a remote code execution issue. This impacts environments utilizing the `PyNcclPipe` KV cache transfer integration with the V0 engine. The issue stems from the use of `pickle.loads` to process client-provided data within the `PyNcclPipe` implementation, creating an unsafe deserialization vulnerability. An attacker can exploit this by sending malicious serialized data to gain server control privileges. The `PyNcclPipe` class is used to establish peer-to-peer communication for data transmission between distributed nodes, and the GPU-side KV-Cache transmission is implemented through the `PyNcclCommunicator` class. CPU-side control message passing is handled via the `send obj` and `recv obj` methods. The intended behavior was for this interface to be exposed only to a private network using the IP address specified by the `--kv-ip` CLI parameter. The default behavior of PyTorch allows the `TCPStore` interface to listen on all interfaces, regardless of the provided IP address. **Recommendations** Update to vLLM version 0.8.5 or later to benefit from the fix that limits the `TCPStore` socket to the configured private interface.

**Nome do Software Vulnerável e Versões Afetadas** Versões do vLLM anteriores à 0.8.0 **Descrição** O problema está relacionado à biblioteca outlines usada pelo vLLM para saída estruturada, que possui um cache opcional para gramáticas compiladas no sistema de arquivos local. Este cache está habilitado por padrão. Um usuário malicioso pode explorar isso enviando múltiplas solicitações de decodificação curtas com esquemas únicos, fazendo com que o cache cresça e potencialmente levando a uma Negação de Serviço se o sistema de arquivos ficar sem espaço. O código afetado está no arquivo vllm/model executor/guided decoding/outlines logits processors.py, que usa incondicionalmente o cache da outlines. O problema aplica-se apenas ao engine V0. **Recomendações** Para versões anteriores à 0.8.0, atualize para a versão 0.8.0 para resolver o problema. Como solução temporária, considere desabilitar o uso da biblioteca outlines ou restringir o acesso à chave guided decoding backend do campo extra body da solicitação para minimizar o risco de exploração.