CVE-2024-11041
Remote Code Execution in vllm-project/vllm
En resumen
Una vulnerabilidad en vllm v0.6.2 permite que atacantes ejecuten código arbitrario en un servidor mediante mensajes especialmente diseñados. La aplicación deserializa datos no confiables de forma insegura, otorgando a los atacantes control total sobre el sistema afectado.
Detalle técnico
La función MessageQueue.dequeue() utiliza pickle.loads() en datos de socket sin validación, permitiendo ataques de inyección de objetos. Un atacante con acceso de red a MessageQueue puede enviar una carga serializada maliciosa que ejecuta código arbitrario durante la deserialización con los privilegios del proceso vllm.
Resumen generado y traducido por IA a partir de la descripción oficial.
vllm-project vllm version v0.6.2 contains a vulnerability in the MessageQueue.dequeue() API function. The function uses pickle.loads to parse received sockets directly, leading to a remote code execution vulnerability. An attacker can exploit this by sending a malicious payload to the MessageQueue, causing the victim's machine to execute arbitrary code.
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
vllm-project · vllm-project/vllm¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →