CVE-2025-32444

Nome do Software Vulnerável e Versões Afetadas vLLM versões 0.6.5 até 0.8.4

Descrição O vLLM é um mecanismo de inferência e serving para LLMs de alta vazão e eficiente em memória. A questão envolve o uso de serialização baseada em pickle sobre sockets ZeroMQ não seguros quando o vLLM está integrado com o mooncake, resultando em execução remota de código. Os sockets vulneráveis foram configurados para escutar em todas as interfaces de rede, aumentando a probabilidade de um ataque. Instâncias do vLLM sem integração com o mooncake não são vulneráveis. Esta questão foi corrigida na versão 0.8.5.

Recomendações Para resolver o problema, atualize para a versão 0.8.5 ou posterior. Como medida paliativa temporária, considere desativar a integração com o mooncake até que um patch seja aplicado. Restrinja o acesso aos sockets ZeroMQ vulneráveis para minimizar o risco de exploração. Evite usar serialização baseada em pickle sobre sockets não seguros nos endpoints de API afetados até que o problema seja resolvido.