发布日期：2025-03-20
更新日期：2025-06-17

受影响系统：

vllm-project vLLM 0.6.0

描述：

---

CVE(CAN) ID: CVE-2024-9053

vLLM是vLLM开源的一个适用于LLM的高吞吐量和内存高效推理和服务引擎。
vLLM 0.6.0版本的AsyncEngineRPCServer() RPC服务器入口点存在操作系统命令注入漏洞，该漏洞源于核心功能run_server_loop()在没有进行过滤的情况下调用使用cloudpickle.loads()的function _make_handler_coro()，攻击者可利用该漏洞通过对恶意pickle数据进行反序列化远程执行代码。

<**>

建议：

---

厂商补丁：

vllm-project
------------
厂商尚未提供漏洞修复方案，请关注厂商主页更新：
https://huntr.com/bounties/75a544f3-34a3-4da0-b5a3-1495cb031e09

浏览次数：44
严重程度：0（网友投票）