vLLM allows a malicious model RCE by torch.load in hf_model_weights_iterator 漏洞信息(CVE-2025-24357)

一、漏洞 CVE-2025-24357 基础信息

AIGC 神龙大模型
美国国家漏洞数据库 NVD

漏洞标题

vLLM在hf_model_weights_iterator中通过torch.load允许恶意模型进行远程代码执行

来源：AIGC 神龙大模型

漏洞描述信息

vLLM 是一个用于大语言模型（LLM）推理和部署的库。在 vllm/model_executor/weight_utils.py 文件中实现了 hf_model_weights_iterator 函数，用于加载从 Hugging Face 下载的模型检查点。该函数使用了 torch.load 方法，且 weights_only 参数默认为 False。当 torch.load 加载恶意的 pickle 数据时，在反序列化过程中会执行任意代码。此漏洞已在 v0.7.0 版本中修复。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

来源：AIGC 神龙大模型

漏洞类别

可信数据的反序列化

来源：AIGC 神龙大模型

漏洞标题

vLLM allows a malicious model RCE by torch.load in hf_model_weights_iterator

来源：美国国家漏洞数据库 NVD

漏洞描述信息

vLLM is a library for LLM inference and serving. vllm/model_executor/weight_utils.py implements hf_model_weights_iterator to load the model checkpoint, which is downloaded from huggingface. It uses the torch.load function and the weights_only parameter defaults to False. When torch.load loads malicious pickle data, it will execute arbitrary code during unpickling. This vulnerability is fixed in v0.7.0.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

来源：美国国家漏洞数据库 NVD

漏洞类别

可信数据的反序列化

来源：美国国家漏洞数据库 NVD

二、漏洞 CVE-2025-24357 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2025-24357 的情报信息

标题： Set weights_only=True when using torch.load() by russellb · Pull Request #12366 · vllm-project/vllm · GitHub -- 🔗来源链接

标签： x_refsource_MISC
标题： torch.load — PyTorch 2.6 documentation -- 🔗来源链接

标签： x_refsource_MISC
标题： Malicious model to RCE by torch.load in hf_model_weights_iterator · Advisory · vllm-project/vllm · GitHub -- 🔗来源链接

标签： x_refsource_CONFIRM
标题： Set weights_only=True when using torch.load() (#12366) · vllm-project/vllm@d3d6bb1 · GitHub -- 🔗来源链接

标签： x_refsource_MISC
https://nvd.nist.gov/vuln/detail/CVE-2025-24357