一、 漏洞 CVE-2025-32444 基础信息
漏洞信息
                                        # 集成Mooncake的功能存在远程代码执行漏洞的问题

## 漏洞概述
vLLM 是一个高性能且内存高效的大型语言模型(LLM)推理和服务器引擎。在 vLLM 和 mooncake 集成的版本中,存在远程代码执行漏洞,原因是通过不安全的 ZeroMQ 套接字使用了基于 pickle 的序列化。

## 影响版本
- 从 0.6.5 到 0.8.4 的版本

## 漏洞细节
- 使用基于 pickle 的序列化,通过不安全的 ZeroMQ 套接字进行数据传输。
- 漏洞套接字监听所有网络接口,增加了攻击者能够访问并利用该漏洞进行攻击的可能性。

## 影响
- 受影响的 vLLM 实例使用了 mooncake 集成。
- 不使用 mooncake 集成的 vLLM 实例不受影响。
- 这个问题已经在版本 0.8.5 中修复。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
vLLM Vulnerable to Remote Code Execution via Mooncake Integration
来源:美国国家漏洞数据库 NVD
漏洞描述信息
vLLM is a high-throughput and memory-efficient inference and serving engine for LLMs. Versions starting from 0.6.5 and prior to 0.8.5, having vLLM integration with mooncake, are vulnerable to remote code execution due to using pickle based serialization over unsecured ZeroMQ sockets. The vulnerable sockets were set to listen on all network interfaces, increasing the likelihood that an attacker is able to reach the vulnerable ZeroMQ sockets to carry out an attack. vLLM instances that do not make use of the mooncake integration are not vulnerable. This issue has been patched in version 0.8.5.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
可信数据的反序列化
来源:美国国家漏洞数据库 NVD
漏洞标题
vLLM 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
vLLM是vLLM开源的一个适用于 LLM 的高吞吐量和内存高效推理和服务引擎。 vLLM 0.6.5至0.8.5之前版本存在代码问题漏洞,该漏洞源于使用基于pickle的序列化,可能导致远程代码执行。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-32444 的公开POC
# POC 描述 源链接 神龙链接
1 None https://github.com/stuxbench/vLLM-CVE-2025-32444 POC详情
2 None https://github.com/stuxbench/vllm-cve-2025-32444 POC详情
三、漏洞 CVE-2025-32444 的情报信息

  • 标题: Remote Code Execution via Mooncake Integration · Advisory · vllm-project/vllm · GitHub -- 🔗来源链接

    标签: x_refsource_CONFIRM

    Remote Code Execution via Mooncake Integration · Advisory · vllm-project/vllm · GitHub

  • 标题: Remote Code Execution via Mooncake Integration · Advisory · vllm-project/vllm · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    Remote Code Execution via Mooncake Integration · Advisory · vllm-project/vllm · GitHub

  • 标题: [Security] Use safe serialization and fix zmq setup for mooncake pipe… · vllm-project/vllm@a5450f1 · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    [Security] Use safe serialization and fix zmq setup for mooncake pipe… · vllm-project/vllm@a5450f1 · GitHub

  • 标题: vllm/vllm/distributed/kv_transfer/kv_pipe/mooncake_pipe.py at 32b14baf8a1f7195ca09484de3008063569b43c5 · vllm-project/vllm · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    vllm/vllm/distributed/kv_transfer/kv_pipe/mooncake_pipe.py at 32b14baf8a1f7195ca09484de3008063569b43c5 · vllm-project/vllm · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2025-32444
四、漏洞 CVE-2025-32444 的评论

暂无评论

发表评论