CVE-2025-29783

Nome do Software Vulnerável e Versões Afetadas Versões do vLLM anteriores a 0.8.0

Descrição O problema é uma vulnerabilidade de execução remota de código que ocorre quando o vLLM está configurado para usar o Mooncake. Esta vulnerabilidade permite que atacantes executem código remoto em hosts distribuídos devido à desserialização insegura exposta diretamente via ZMQ/TCP em todas as interfaces de rede. A vulnerabilidade impacta quaisquer implantações que utilizam o Mooncake para distribuir KV entre hosts distribuídos.

Recomendações Para resolver o problema, atualize para a versão 0.8.0 ou posterior. Como medida de contorno temporária, considere restringir o acesso à integração vulnerável do Mooncake até que uma correção esteja disponível. Evite usar a função pickle.loads() com entrada não confiável e garanta que apenas fontes confiáveis possam enviar dados ao serviço afetado.