CVE-2025-46722

vLLM is an inference and serving engine for large language models (LLMs). In versions starting from 0.7.0 to before 0.9.0, in the file vllm/multimodal/hasher.py, the MultiModalHasher class has a security and data integrity issue in its image hashing method. Currently, it serializes PIL.Image.Image objects using only obj.tobytes(), which returns only the raw pixel data, without including metadata such as the image’s shape (width, height, mode). As a result, two images of different sizes (e.g., 30x100 and 100x30) with the same pixel byte sequence could generate the same hash value. This may lead to hash collisions, incorrect cache hits, and even data leakage or security risks. This issue has been patched in version 0.9.0.
Configurations

No configuration.

History

30 May 2025, 16:31

Type Values Removed Values Added
Summary
  • (es) vLLM es un motor de inferencia y servicio para modelos de lenguaje grandes (LLM). En versiones desde la 0.7.0 hasta anteriores a la 0.9.0, en el archivo vllm/multimodal/hasher.py, la clase MultiModalHasher presenta un problema de seguridad e integridad de datos en su método de hash de imágenes. Actualmente, serializa los objetos PIL.Image.Image utilizando únicamente obj.tobytes(), que devuelve únicamente los datos de píxeles sin procesar, sin incluir metadatos como la forma de la imagen (ancho, alto, modo). Como resultado, dos imágenes de diferentes tamaños (p. ej., 30x100 y 100x30) con la misma secuencia de bytes de píxeles podrían generar el mismo valor hash. Esto puede provocar colisiones de hash, aciertos de caché incorrectos e incluso fugas de datos o riesgos de seguridad. Este problema se ha corregido en la versión 0.9.0.

29 May 2025, 17:15

Type Values Removed Values Added
New CVE

Information

Published : 2025-05-29 17:15

Updated : 2025-05-30 16:31


NVD link : CVE-2025-46722

Mitre link : CVE-2025-46722

CVE.ORG link : CVE-2025-46722


JSON object : View

Products Affected

No product.

CWE
CWE-1023

Incomplete Comparison with Missing Factors

CWE-1288

Improper Validation of Consistency within Input