CVE-2025-48887

Nome do Software Vulnerável e Versões Afetadas Versões do vLLM de 0.6.4 a 0.9.0

Descrição Uma vulnerabilidade de Negação de Serviço por Expressão Regular (ReDoS) existe no projeto vLLM, especificamente no arquivo vllm/entrypoints/openai/tool parsers/pythonic tool parser.py. A causa raiz é o uso de uma expressão regular altamente complexa e aninhada para detecção de chamada de ferramenta, que pode ser explorada por um atacante para causar degradação severa de desempenho ou tornar o serviço indisponível. O padrão contém múltiplos quantificadores aninhados, grupos opcionais e repetições internas, tornando-o vulnerável a backtracking catastrófico. Isso pode levar à Negação de Serviço (DoS), esgotamento de recursos e potencial instabilidade mais ampla do sistema.

Recomendações Para as versões de 0.6.4 a 0.9.0, atualize para a versão 0.9.0 ou posterior, que contém uma correção para o problema. Como solução temporária, considere restringir o acesso ao arquivo vulnerável pythonic tool parser.py até que a atualização seja aplicada. Evite usar o padrão de expressão regular vulnerável no arquivo vllm/entrypoints/openai/tool parsers/pythonic tool parser.py até que o problema seja resolvido.