CVE-2024-11041
Remote Code Execution in vllm-project/vllm
Em resumo
Uma falha no vllm v0.6.2 permite que invasores executem códigos maliciosos em um servidor através de mensagens especialmente preparadas. O aplicativo desserializa dados não confiáveis de forma insegura, dando aos invasores controle total sobre o sistema afetado.
Detalhe técnico
A função MessageQueue.dequeue() utiliza pickle.loads() em dados de socket não validados, permitindo ataques de injeção de objetos. Um invasor com acesso de rede à MessageQueue pode enviar uma carga serializada maliciosa que executa código arbitrário durante a desserialização com os privilégios do processo vllm.
Resumo gerado e traduzido por IA a partir da descrição oficial.
vllm-project vllm version v0.6.2 contains a vulnerability in the MessageQueue.dequeue() API function. The function uses pickle.loads to parse received sockets directly, leading to a remote code execution vulnerability. An attacker can exploit this by sending a malicious payload to the MessageQueue, causing the victim's machine to execute arbitrary code.
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
vllm-project · vllm-project/vllmQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →