CVE-2025-30165

vLLM es un motor de inferencia y servicio para modelos de lenguaje extensos. En una implementación de vLLM multinodo con el motor V0, vLLM utiliza ZeroMQ para la comunicación multinodo. Los hosts secundarios de vLLM abren un socket "SUB" de ZeroMQ y se conectan a un socket "XPUB" en el host principal de vLLM. Cuando se reciben datos en este socket "SUB", se deserializan con "pickle". Esto es peligroso, ya que puede utilizarse para ejecutar código en una máquina remota. Dado que la vulnerabilidad existe en un cliente que se conecta al host principal de vLLM, sirve como punto de escalada. Si el host principal de vLLM se ve comprometido, esta vulnerabilidad podría utilizarse para comprometer el resto de los hosts de la implementación de vLLM. Los atacantes también podrían utilizar otros medios para explotar la vulnerabilidad sin necesidad de acceder al host principal de vLLM. Un ejemplo sería el uso de envenenamiento de caché ARP para redirigir el tráfico a un endpoint malicioso utilizado para entregar un payload con código arbitrario que se ejecuta en la máquina objetivo. Tenga en cuenta que este problema solo afecta al motor V0, que ha estado desactivado por defecto desde la versión v0.8.0. Además, el problema solo se aplica a implementaciones que utilizan paralelismo tensorial en varios hosts, lo cual no esperamos que sea un patrón de implementación común. Dado que V0 ha estado desactivado por defecto desde la versión v0.8.0 y la solución es bastante invasiva, los responsables de vLLM han decidido no corregir este problema. En su lugar, recomiendan a los usuarios que se aseguren de que su entorno esté en una red segura en caso de que se utilice este patrón. El motor V1 no se ve afectado por este problema.