CVE-2025-46722

Nome do Software Vulnerável e Versões Afetadas Versões do vLLM de 0.7.0 a 0.8.x

Descrição O problema envolve uma questão de segurança e integridade de dados no método de hash de imagens da classe MultiModalHasher. Especificamente, o método serializa objetos PIL.Image.Image usando apenas obj.tobytes(), o que retorna os dados brutos de pixel sem incluir metadados como as dimensões da imagem. Isso pode levar a colisões de hash, acertos de cache incorretos e potencial vazamento de dados ou riscos de segurança. O problema surge porque duas imagens com a mesma sequência de bytes de pixel, mas tamanhos diferentes, podem gerar o mesmo valor de hash.

Recomendações Para as versões de 0.7.0 a 0.8.x, atualize para a versão 0.9.0, que inclui uma correção para este problema. Como solução temporária, considere modificar o método serialize item na classe MultiModalHasher para incluir todos os metadados críticos, como dimensões, modo de cor, formato e o dicionário info, no cálculo do hash para prevenir colisões.