CVE-2025-25183

Nome do Software Vulnerável e Versões Afetadas Versões do vLLM anteriores à 0.7.2

Descrição Instruções construídas maliciosamente podem levar a colisões de hash, resultando em reutilização de cache, o que pode interferir nas respostas subsequentes e causar comportamento não intencional. O problema surge do uso da função hash() integrada do Python, que, a partir do Python 3.12, retorna um valor constante previsível para hash(None). Isso torna mais viável para alguém explorar colisões de hash. Dado o conhecimento dos prompts em uso e do comportamento de hash previsível, alguém poderia intencionalmente popular o cache usando um prompt conhecido por colidir com outro prompt em uso. O impacto de uma colisão seria o uso de cache que foi gerado usando conteúdo diferente.

Recomendações Para versões anteriores à 0.7.2, atualize para a versão 0.7.2 ou posterior para corrigir o problema. Como solução temporária, considere inicializar hashes no vllm com um valor que não seja mais constante e previsível, ou usar um algoritmo de hash menos suscetível a colisões, como sha256, embora isso possa ter um impacto no desempenho e no consumo de memória. Evite usar prompts que são conhecidos por colidir com outros prompts em uso até que o problema seja resolvido.