CVE-2025-29770

Nome do Software Vulnerável e Versões Afetadas Versões do vLLM anteriores à 0.8.0

Descrição O problema está relacionado à biblioteca outlines usada pelo vLLM para saída estruturada, que possui um cache opcional para gramáticas compiladas no sistema de arquivos local. Este cache está habilitado por padrão. Um usuário malicioso pode explorar isso enviando múltiplas solicitações de decodificação curtas com esquemas únicos, fazendo com que o cache cresça e potencialmente levando a uma Negação de Serviço se o sistema de arquivos ficar sem espaço. O código afetado está no arquivo vllm/model executor/guided decoding/outlines logits processors.py, que usa incondicionalmente o cache da outlines. O problema aplica-se apenas ao engine V0.

Recomendações Para versões anteriores à 0.8.0, atualize para a versão 0.8.0 para resolver o problema. Como solução temporária, considere desabilitar o uso da biblioteca outlines ou restringir o acesso à chave guided decoding backend do campo extra body da solicitação para minimizar o risco de exploração.