CVE-2025-59425

Nome do Software Vulnerável e Versões Afetadas Versões do vLLM anteriores a 0.11.0rc2

Descrição O vLLM é um mecanismo de inferência e serviço para grandes modelos de linguagem (LLMs). O mecanismo de validação de chave de API nas versões anteriores a 0.11.0rc2 é suscetível a um ataque de temporização. A comparação de strings utilizada para validação leva mais tempo à medida que mais caracteres da chave de API fornecida correspondem à chave esperada. Ao analisar o tempo despendido em múltiplas tentativas de validação, um atacante poderia potencialmente determinar os caracteres corretos na sequência da chave, resultando em bypass de autenticação. O processo de validação da chave de API é vulnerável.

Recomendações Atualize para a versão 0.11.0rc2 ou posterior.