Een ernstige kwetsbaarheid (CVE-2025-48956) in de vLLM API, gebruikt door grote taalmodellen, maakt het mogelijk een Denial of Service (DoS) aanval uit te voeren door een enkel HTTP GET-verzoek met een extreem grote header te sturen. Dit kan leiden tot geheugenuitsluiting van de server en mogelijk een crash of niet-reageren veroorzaken. Er is geen authenticatie vereist, waardoor elke externe gebruiker dit kan uitbuiten. Het probleem is opgelost in versie 0.10.1.1.
Overzicht
Een onbeheerde hulpbronnenconsumptie (CWE-400) in de vLLM API veroorzaakt kritieke beschikbaarheidsproblemen, met een hoge CVSS-score van 7.5, wat wijst op hoge impact met lage complexiteit en geen benodigde privileges.
Aanbevelingen
- Update uw vLLM installatie naar versie 0.10.1.1 of hoger om deze kwetsbaarheid te verhelpen.
- Zorg ervoor dat ongebruikte of niet-gepatchte vLLM-versies niet worden blootgesteld aan onveilige omgevingen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-48956?
Dit is een DoS-kwetsbaarheid in de vLLM API, waardoor een aanvaller zonder authenticatie het geheugen van de server kan uitputten door grote headers te sturen in HTTP-verzoeken.
Welke systemen zijn kwetsbaar voor CVE-2025-48956?
Alle systemen die vLLM gebruiken in de versies van 0.1.0 tot vóór 0.10.1.1 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, de kwetsbaarheid is verholpen in vLLM versie 0.10.1.1. Het is dringend aanbevolen om te updaten.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan de server onbruikbaar maken door het geheugen uit te putten, wat leidt tot een crash of niet-reageren, zonder dat authenticatie vereist is.
