关键信息总结 漏洞概述 漏洞名称: VLLM prompt_embs deserialize allows DoS and potential RCE CVE ID: CVE-2025-62164 影响版本 受影响版本: >= 0.10.2 修复版本: 无 漏洞详情 攻击向量: 网络 严重性: 高 (8.8/10) CVSS 3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H: 漏洞描述 问题本质: 由于PyTorch 2.8.0中默认禁用了稀疏张量完整性检查,因此用户提供的触发内存越界的恶意构建的张量可以被绕过检查,从而导致服务崩溃和潜在的远程代码执行。 漏洞存在位置: 在 版本 及之后的 端点中。 核心问题点: 在处理用户提供的提示嵌入序列化张量时,未进行充分验证。在调用 函数时,可能导致内存越界写入。具体代码问题参见 。 漏洞利用条件 所需权限: 低 用户交互: 无 漏洞影响 所有能够访问此API的用户均可以利用此漏洞,导致服务崩溃和服务端进程的远程代码执行。 DOS和潜在的远程代码执行(RCE)。 漏洞修复 修复状况: 无修复版本 修复建议问题单: #27204 漏洞发现及致谢 发现者: AXION Security Research Team (Omri Fainaro, Bary Levy) 协调者及修复者: Russellb, DarkLight1337, Isot0py, ywang96