【高危】vLLM Qwen3CoderToolParser 远程代码执行漏洞
漏洞描述
vLLM 是一款开源、高效的大语言模型推理和服务引擎,旨在为用户提供快速、便捷的 LLM 推理能力。
受影响版本中,启用工具调用并指定 qwen3_coder 解析器时,Qwen3CoderToolParser 在处理未定义或无法识别的参数类型时会调用 eval() 进行动态解析。由于参数值来源于模型输出且可受用户输入引导,攻击者可构造特定输入诱使模型生成恶意 Python 代码,从而在服务器端触发任意代码执行。
修复版本中通过移除 eval() 函数调用,彻底杜绝了代码注入的风险。当遇到未知类型的参数时,程序不再尝试执行动态解析,而是直接将其作为字符串处理,防止任意代码执行漏洞。
| MPS编号 | MPS-qwuf-i62l |
|---|---|
| CVE编号 | CVE-2025-9141 |
| 处置建议 | 建议修复 |
| 发现时间 | 2025-08-22 |
| 利用成本 | 高 |
| 利用可能性 | 中 |
| 是否有POC | 否 |
影响范围
| 影响组件 | 受影响的版本 | 最小修复版本 |
|---|---|---|
| vllm | [0.10.0, 0.10.1.1) | 0.10.1.1 |
参考链接
https://github.com/vllm-project/vllm/commit/4594fc3b281713bd3d7634405b4a1393af40d294
https://github.com/advisories/GHSA-79j6-g2m3-jgfw
https://www.oscs1024.com/hd/MPS-qwuf-i62l
https://github.com/vllm-project/vllm/commit/1da94e673c257373280026f75ceb4effac80e892
排查方式
手动排查
检查vLLM版本:执行pip list | grep vllm,确认版本是否在[0.10.0, 0.10.1.1)
检查工具调用配置:查看是否启用工具调用且指定parser为qwen3_coder(如配置文件或代码中含parser="qwen3_coder")
若同时满足,需升级至vllm 0.10.1.1及以上版本
一键自动排查全公司此类风险
墨菲安全为您免费提供一键排查全公司开源组件漏洞&投毒风险服务,可一键接入扫描全公司的代码仓库、容器镜像仓库、主机、制品仓库等。
试用地址:https://www.murphysec.com/adv?code=M5I0
提交漏洞情报:https://www.murphysec.com/bounty
处置方式
应急缓解方案
- 立即暂停使用qwen3_coder解析器,切换至其他安全解析器
- 限制模型输入来源,仅允许可信用户访问vLLM服务
- 对用户输入实施严格过滤,阻断包含Python代码特征的输入内容
- 在服务器前端部署WAF,启用代码注入攻击检测规则
根本修复方案
- 通过pip执行版本升级命令: pip install –upgrade vllm>=0.10.1.1
- 升级完成后重启vLLM服务
- 验证升级结果: pip show vllm | grep Version,确认版本号≥0.10.1.1
- 进行安全测试,验证qwen3_coder解析器功能正常且无代码执行风险
