vLLM 远程代码执行漏洞(CVE-2025-66448)
一、漏洞概述
漏洞名称 | vLLM 远程代码执行漏洞 | ||
CVE ID | CVE-2025-66448 | ||
漏洞类型 | RCE | 发现时间 | 2025-12-2 |
漏洞评分 | 7.1 | 漏洞等级 | 高危 |
攻击向量 | 网络 | 所需权限 | 低 |
利用难度 | 高 | 用户交互 | 需要 |
PoC/EXP | 未公开 | 在野利用 | 未发现 |
vLLM是一个高性能的大模型推理框架,专为大规模语言模型的高吞吐量、低延迟部署而设计。其核心特性包括PagedAttention高效内存管理、并行化调度优化以及对多GPU、分布式环境的良好支持。vLLM兼容Hugging Face接口,便于模型快速加载与集成,广泛用于推理服务、AI应用后端与生产级模型部署场景。
漏洞源于Nemotron_Nano_VL_Config在处理auto_map字段时,通过get_class_from_dynamic_module()无条件获取并实例化远程仓库中的类,实现动态模块解析。然而该过程未正确遵循trust_remote_code=False的安全限制,导致攻击者可构造一个看似正常的前端模型仓库,并在其config.json中将auto_map指向包含恶意代码的后端仓库。一旦受害者加载前端模型,vLLM将自动下载并执行后端仓库的任意Python代码。该漏洞影响通用加载路径,对模型服务、自动化流水线与开发环境均构成高风险,可导致完全的主机代码执行。
二、影响范围
vLLM < <0.11.1
三、安全措施
3.1 升级版本
下载链接:https://github.com/vllm-project/vllm/releases/tag/v0.11.2/
3.2 临时措施
暂无。