Apa yang terjadi
CVE-2025-71379 (CVSS 4.3 Sedang) dipublikasikan ke NVD pada 2026-06-20. Beberapa pola regex dalam versi vLLM 0.6.3 hingga 0.8.x rentan terhadap backtracking yang bencana (ReDoS). Pola yang terpengaruh berada di vllm/lora/utils.py (validasi nama adapter LoRA), parser alat phi4mini, dan endpoint obrolan yang kompatibel dengan OpenAI. Penyerang yang dapat mengirimkan permintaan ke salah satu endpoint ini dapat membuat string input yang menyebabkan mesin regex mengkonsumsi waktu CPU yang berlebihan.
Mengapa penting
Meskipun skor CVSS sedang, penerapan luas vLLM dalam inferensi AI produksi berarti ReDoS terhadap endpoint obrolan yang kompatibel dengan OpenAI (antarmuka eksternal utama) dapat menolak layanan ke seluruh kluster inferensi GPU dengan sumber daya penyerang minimal. Dalam penerapan pay-per-use atau terikat SLA, bahkan degradasi ketersediaan singkat memiliki dampak operasional dan keuangan yang signifikan.
Vektor serangan
Penyerang mengirimkan input string yang dirancang ke endpoint layanan obrolan yang kompatibel dengan OpenAI, parser alat phi4mini, atau bidang nama adapter LoRA. Input memicu backtracking yang bencana dalam pola regex yang rentan di vllm/lora/utils.py, parser alat phi4mini, atau penangan endpoint obrolan, mengkonsumsi CPU untuk periode yang lama dan mendegradasi atau menolak layanan ke server inferensi
Sistem yang terdampak
vLLM >= 0.6.3 dan < 0.9.0
Mitigasi
Tingkatkan vLLM ke versi 0.9.0 atau lebih baru. Penasihat: https://github.com/vllm-project/vllm/security/advisories/GHSA-j828-28rj-hfhp