Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en vLLM (CVE-2025-46570)

Gravedad CVSS v3.1:
BAJA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
29/05/2025
Última modificación:
24/06/2025

Descripción

vLLM es un motor de inferencia y entrega para modelos de lenguaje grandes (LLM). Antes de la versión 0.9.0, al procesar una nueva solicitud, si el mecanismo PageAttention encuentra un fragmento de prefijo coincidente, el proceso de precompletado se acelera, lo que se refleja en el TTFT (Tiempo hasta el Primer Token). Estas diferencias de tiempo causadas por la coincidencia de fragmentos son lo suficientemente significativas como para ser detectadas y explotadas. Este problema se ha corregido en la versión 0.9.0.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:vllm:vllm:*:*:*:*:*:*:*:* 0.9.0 (excluyendo)