CVE-2024-9052

Nome do Software Vulnerável e Versões Afetadas vllm-project vllm versão 0.6.0

Descrição O problema refere-se a uma vulnerabilidade de execução remota de código na API de treinamento distribuído. Especificamente, a função vllm.distributed.GroupCoordinator.recv object() desserializa bytes de objeto recebidos utilizando pickle.loads() sem a devida sanitização. Essa falta de sanitização leva à vulnerabilidade.

Recomendações Para o vllm-project vllm versão 0.6.0, considere desativar a função vllm.distributed.GroupCoordinator.recv object() até que uma correção esteja disponível para prevenir possível execução remota de código. Restrinja o acesso à API de treinamento distribuído para minimizar o risco de exploração. Evite utilizar a função pickle.loads() para desserializar bytes de objeto recebidos sem a devida sanitização até que o problema seja resolvido.