Vulnerabilidad en vLLM (CVE-2025-46570)
Gravedad CVSS v3.1:
BAJA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
29/05/2025
Última modificación:
24/06/2025
Descripción
vLLM es un motor de inferencia y entrega para modelos de lenguaje grandes (LLM). Antes de la versión 0.9.0, al procesar una nueva solicitud, si el mecanismo PageAttention encuentra un fragmento de prefijo coincidente, el proceso de precompletado se acelera, lo que se refleja en el TTFT (Tiempo hasta el Primer Token). Estas diferencias de tiempo causadas por la coincidencia de fragmentos son lo suficientemente significativas como para ser detectadas y explotadas. Este problema se ha corregido en la versión 0.9.0.
Impacto
Puntuación base 3.x
2.60
Gravedad 3.x
BAJA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:vllm:vllm:*:*:*:*:*:*:*:* | 0.9.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página