1  info:
 2    name: vllm
 3    cve: CVE-2025-59425
 4    summary: vLLM API 密钥验证中的时序攻击漏洞
 5    details: |
 6      vLLM 中的 API 密钥验证机制由于使用了非常量时间字符串比较，容易受到时序攻击。
 7      这使得攻击者可能通过重复请求和响应时间分析来推测出有效的 API 密钥。
 8      具体而言，该漏洞存在于 `api_server.py` 文件第 1270 至 1274 行的认证逻辑中，其中猜测的 API 密钥每正确一个字符，处理时间就会明显变长。
 9      使用 vLLM 内置 API 密钥保护功能的部署面临认证绕过风险。
10    cvss: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
11    severity: HIGH
12    security_advise: |
13      1. 升级到 vLLM 0.11.0 或更高版本，该版本已采用常量时间比较修复此问题。
14      2. 检查并替换任何自定义的 API 密钥验证逻辑，使用安全的、基于常量时间比较的函数。
15      3. 监控访问日志中异常模式，以识别潜在的时序攻击尝试。
16  rule: version >= "0" && version < "0.11.0"
17  references:
18    - https://github.com/vllm-project/vllm/security/advisories/GHSA-wr9h-g72x-mwhm
19    - https://nvd.nist.gov/vuln/detail/CVE-2025-59425
20    - https://github.com/vllm-project/vllm/commit/ee10d7e6ff5875386c7f136ce8b5f525c8fcef48
21    - https://github.com/vllm-project/vllm/blob/4b946d693e0af15740e9ca9c0e059d5f333b1083/vllm/entrypoints/openai/api_server.py#L1270-L1274
22    - https://github.com/vllm-project/vllm/releases/tag/v0.11.0