CVE-2024-9053

Nome do Software Vulnerável e Versões Afetadas vllm-project vllm versão 0.6.0

Descrição O problema refere-se a uma vulnerabilidade nos pontos de entrada do servidor RPC AsyncEngineRPCServer(). A funcionalidade principal run server loop() chama a função make handler coro(), que utiliza diretamente cloudpickle.loads() em mensagens recebidas sem qualquer sanitização. Isso pode resultar em execução remota de código pela desserialização de dados pickle maliciosos.

Recomendações Para o vllm-project vllm versão 0.6.0, considere desativar a função make handler coro() ou restringir o uso de cloudpickle.loads() até que um patch esteja disponível para prevenir a execução remota de código. Adicionalmente, evite utilizar mensagens recebidas não sanitizadas na função run server loop() para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.