Vulnerabilidad en vLLM (CVE-2025-25183)

vLLM es un motor de inferencia y servicio de alto rendimiento y uso eficiente de la memoria para LLM. Las declaraciones construidas de forma malintencionada pueden provocar colisiones de hash, lo que da como resultado la reutilización de la memoria caché, lo que puede interferir con las respuestas posteriores y provocar un comportamiento no deseado. El almacenamiento en caché de prefijos utiliza la función hash() incorporada de Python. A partir de Python 3.12, el comportamiento de hash(None) ha cambiado para ser un valor constante predecible. Esto hace que sea más factible que alguien pueda intentar explotar las colisiones de hash. El impacto de una colisión sería el uso de la memoria caché generada con un contenido diferente. Dado el conocimiento de los mensajes en uso y el comportamiento predecible del hash, alguien podría rellenar intencionalmente la memoria caché utilizando un mensaje que se sabe que colisiona con otro mensaje en uso. Este problema se ha solucionado en la versión 0.7.2 y se recomienda a todos los usuarios que actualicen. No existen workarounds para esta vulnerabilidad.