CVE-2025-48956

Nome do Software Vulnerável e Versões Afetadas: Versões do vLLM de 0.1.0 até 0.10.1.0

Descrição: O vLLM é um mecanismo de inferência e serviço para grandes modelos de linguagem (LLMs). Uma vulnerabilidade de Negação de Serviço (DoS) pode ser desencadeada pelo envio de uma única requisição HTTP GET com um cabeçalho extremamente grande para um endpoint HTTP, resultando em esgotamento da memória do servidor e possíveis falhas ou indisponibilidade. O ataque não requer autenticação, tornando-o explorável por qualquer usuário remoto. A vulnerabilidade aproveita o abuso de cabeçalhos HTTP, como o cabeçalho X-Forwarded-For, definindo-o com um valor muito grande.

Recomendações: Atualize para a versão 0.10.1.1 do vLLM ou superior. Utilize um proxy à frente do vLLM que ofereça proteção contra este problema.