Katalog CVE

CVE-2025-71379

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.32%

Percentyl 24 — wyżej niż 24% wszystkich znanych CVE

Streszczenie

Podatność ReDoS w vLLM w wersjach od 0.6.3 do 0.9.0. Wzorce wyrażeń regularnych w kilku komponentach (vllm/lora/utils.py, parser phi4mini, endpoint czatu OpenAI) są podatne na katastrofalne cofanie, co pozwala atakującemu na przeciążenie CPU i degradację wydajności.

Ocena ryzyka

Atakujący może wysłać spreparowane dane wejściowe z zagnieżdżonymi lub powtarzającymi się strukturami, powodując znaczne zużycie procesora i spadek wydajności, prowadzący do odmowy usługi (DoS).

Rekomendacja

Zaleca się aktualizację vLLM do wersji 0.9.0 lub nowszej, która zawiera poprawki dla tych podatności ReDoS.

Oryginalny opis (angielski, źródło NVD)

vLLM versions >= 0.6.3 and < 0.9.0 contain multiple regular expression denial of service (ReDoS) vulnerabilities. Several regex patterns — in vllm/lora/utils.py, the phi4mini tool parser, and the OpenAI-compatible serving chat endpoint — are susceptible to catastrophic backtracking. An attacker submitting crafted input with nested or repeated structures can trigger severe CPU consumption and performance degradation, resulting in denial of service.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS