CVE-2025-71379
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 24 — wyżej niż 24% wszystkich znanych CVE
Streszczenie
Podatność ReDoS w vLLM w wersjach od 0.6.3 do 0.9.0. Wzorce wyrażeń regularnych w kilku komponentach (vllm/lora/utils.py, parser phi4mini, endpoint czatu OpenAI) są podatne na katastrofalne cofanie, co pozwala atakującemu na przeciążenie CPU i degradację wydajności.
Ocena ryzyka
Atakujący może wysłać spreparowane dane wejściowe z zagnieżdżonymi lub powtarzającymi się strukturami, powodując znaczne zużycie procesora i spadek wydajności, prowadzący do odmowy usługi (DoS).
Rekomendacja
Zaleca się aktualizację vLLM do wersji 0.9.0 lub nowszej, która zawiera poprawki dla tych podatności ReDoS.
Oryginalny opis (angielski, źródło NVD)
vLLM versions >= 0.6.3 and < 0.9.0 contain multiple regular expression denial of service (ReDoS) vulnerabilities. Several regex patterns — in vllm/lora/utils.py, the phi4mini tool parser, and the OpenAI-compatible serving chat endpoint — are susceptible to catastrophic backtracking. An attacker submitting crafted input with nested or repeated structures can trigger severe CPU consumption and performance degradation, resulting in denial of service.

