关键漏洞信息 漏洞概述 标题: Remote Code Execution Vulnerability in vLLM Multi-Node Cluster Configuration 严重性: High (8.0/10) CVE ID: CVE-2025-30165 CVSS v3 基本指标: - 攻击向量: Adjacent - 攻击复杂度: Low - 所需权限: Low - 用户交互: None - 范围: Unchanged - 机密性影响: High - 完整性影响: High - 可用性影响: High 影响范围 受影响的包: vllm (pip) 受影响版本: >=0.5.2 修复版本: None 描述 受影响环境: 仅影响使用V0引擎的多节点部署,该引擎自v0.8.0起默认关闭。问题仅在跨多个主机使用张量并行的部署中出现。 影响: 在使用V0引擎的多节点vLLM部署中,vLLM使用ZeroMQ进行多节点通信。次级vLLM主机打开一个SUB ZeroMQ套接字并连接到主vLLM主机上的XPUB套接字。 漏洞细节 代码片段: - 当数据通过SUB套接字接收时,使用 反序列化,这不安全,可能导致远程代码执行。 影响与风险 漏洞利用: 如果主vLLM主机被攻破,此漏洞可作为升级点,进一步攻击其他vLLM部署中的主机。 攻击手段: 攻击者可通过ARP缓存中毒等手段重定向流量至恶意端点,以交付任意代码在目标机器上执行。