CVE-2024-11041

Nome do Software Vulnerável e Versões Afetadas vllm-project vllm versão v0.6.2

Descrição O problema está relacionado a uma vulnerabilidade de execução remota de código na função da API MessageQueue.dequeue(). Esta função utiliza pickle.loads para processar sockets recebidos diretamente, permitindo que um atacante explore essa falha enviando um payload malicioso para o MessageQueue, fazendo com que a máquina da vítima execute código arbitrário. O endpoint da API afetado é a função MessageQueue.dequeue(), que utiliza o método pickle.loads para desserializar dados recebidos.

Recomendações Para a versão v0.6.2, considere desativar a função MessageQueue.dequeue() até que uma correção esteja disponível para prevenir a exploração. Restrinja o acesso ao módulo MessageQueue para minimizar o risco de exploração. Evite usar o método pickle.loads para processar sockets recebidos diretamente na função MessageQueue.dequeue() até que o problema seja resolvido.