CVE-2025-30202

Nome do Software Vulnerável e Versões Afetadas Versões do vLLM de 0.5.2 a 0.8.5

Descrição O problema afeta o vLLM, um mecanismo de inferência e serving para LLMs de alta vazão e eficiente em memória. Em uma implantação do vLLM em múltiplos nós, o vLLM utiliza ZeroMQ para alguns fins de comunicação entre nós, abrindo um socket XPUB ZeroMQ e vinculando-o a todas as interfaces. Isso permite que qualquer cliente com acesso à rede se conecte ao socket, a menos que sua porta seja bloqueada por um firewall, e receba informações internas do estado do vLLM. Embora esses dados não sejam úteis para um atacante, conectar-se ao socket várias vezes sem ler os dados publicados pode causar uma negação de serviço, desacelerando ou potencialmente bloqueando o publicador.

Recomendações Para as versões de 0.5.2 a 0.8.5, atualize para a versão 0.8.5 para resolver o problema. Como solução temporária, considere bloquear a porta usada pelo socket XPUB ZeroMQ para prevenir acesso não autorizado. Restrinja o acesso ao socket ZeroMQ para minimizar o risco de exploração.