vLLM `MediaConnector` क्लास के माध्यम से सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) के प्रति संवेदनशील है

यह SSRF भेद्यता vLLM सर्वर को आंतरिक नेटवर्क संसाधनों तक पहुँचने की अनुमति देती है, जिससे संभावित रूप से संवेदनशील जानकारी का खुलासा हो सकता है या अन्य आंतरिक सेवाओं के साथ छेड़छाड़ की जा सकती है। एक हमलावर इस भेद्यता का उपयोग आंतरिक नेटवर्क को स्कैन करने, अन्य पॉड के साथ इंटरैक्ट करने और संभावित रूप से कंटेनरीकृत वातावरण में आगे बढ़ने के लिए कर सकता है, जैसे कि llm-d। यह भेद्यता विशेष रूप से महत्वपूर्ण है क्योंकि एक समझौता किया गया vLLM पॉड आंतरिक नेटवर्क तक पहुँच प्राप्त कर सकता है और अन्य सेवाओं को प्रभावित कर सकता है। इस भेद्यता का उपयोग आंतरिक सेवाओं के लिए अनुरोध करने के लिए किया जा सकता है जो अन्यथा बाहरी दुनिया के लिए दुर्गम हैं।

Organizations deploying vLLM in containerized environments, particularly those utilizing llm-d, are at the highest risk. Environments with lax network segmentation and internal services accessible from the vLLM server are also particularly vulnerable. Users relying on vLLM's multimodal features for processing external media are directly exposed.

• python / llm-d:

Get-Process -Name vLLM | Select-Object -ExpandProperty Path

• python / llm-d: Monitor vLLM logs for unusual outbound network connections or requests to internal IP addresses. • generic web: Use curl to probe for exposed endpoints related to media loading: curl http://<vllmserverip>/media/load • generic web: Examine access logs for requests originating from the vLLM server to internal IP addresses or unexpected domains.

1. 2025-10-07Disclosure

   disclosure

1. आरक्षित2025-06-18
2. प्रकाशित2025-10-07
3. संशोधित2026-02-04
4. EPSS अद्यतन2026-03-23

CVE-2025-6242 को कम करने के लिए, vLLM को संस्करण 0.11.0 या बाद के संस्करण में तुरंत अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके vLLM सर्वर के सामने आने वाले ट्रैफ़िक को फ़िल्टर कर सकते हैं, ताकि केवल विश्वसनीय डोमेन से अनुरोधों की अनुमति दी जा सके। इसके अतिरिक्त, आप loadfromurl और loadfromurl_async विधियों में इनपुट सत्यापन जोड़ सकते हैं ताकि यह सुनिश्चित किया जा सके कि URL केवल अपेक्षित डोमेन से हैं। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, आंतरिक संसाधनों तक अनधिकृत पहुँच के लिए लॉग की जाँच करके।