服务安全 on 办公AI智能小助手 https://blog.qife122.com/tags/%E6%9C%8D%E5%8A%A1%E5%AE%89%E5%85%A8/ Recent content in 服务安全 on 办公AI智能小助手 Hugo zh-cn qife Mon, 08 Dec 2025 03:39:32 +0800 vLLM多模态嵌入输入形状不正确可导致拒绝服务攻击 (CVE-2025-62372) 漏洞深度解析 https://blog.qife122.com/p/vllm%E5%A4%9A%E6%A8%A1%E6%80%81%E5%B5%8C%E5%85%A5%E8%BE%93%E5%85%A5%E5%BD%A2%E7%8A%B6%E4%B8%8D%E6%AD%A3%E7%A1%AE%E5%8F%AF%E5%AF%BC%E8%87%B4%E6%8B%92%E7%BB%9D%E6%9C%8D%E5%8A%A1%E6%94%BB%E5%87%BB-cve-2025-62372-%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90/ Mon, 08 Dec 2025 03:39:32 +0800 https://blog.qife122.com/p/vllm%E5%A4%9A%E6%A8%A1%E6%80%81%E5%B5%8C%E5%85%A5%E8%BE%93%E5%85%A5%E5%BD%A2%E7%8A%B6%E4%B8%8D%E6%AD%A3%E7%A1%AE%E5%8F%AF%E5%AF%BC%E8%87%B4%E6%8B%92%E7%BB%9D%E6%9C%8D%E5%8A%A1%E6%94%BB%E5%87%BB-cve-2025-62372-%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90/ <h3 id="漏洞概述">漏洞概述</h3> <p><strong>CVE ID:</strong> CVE-2025-62372 <strong>严重等级:</strong> 高危 (CVSS 4.0 评分: 8.3) <strong>影响包:</strong> <code>vllm</code> (pip) <strong>受影响版本:</strong> &gt;= 0.5.5, &lt; 0.11.1 <strong>已修复版本:</strong> 0.11.1 <strong>漏洞发现时间:</strong> 2025年11月20日发布至GitHub Advisory Database</p> <h3 id="漏洞详情">漏洞详情</h3> <h4 id="摘要">摘要</h4> <p>用户可以通过传递具有正确维度(ndim)但形状不正确的多模态嵌入输入(例如隐藏维度错误),来使服务于多模态模型的vLLM引擎崩溃。无论模型是否旨在支持此类输入(如“支持的模型”页面所定义),此问题均会发生。该问题自添加对图像嵌入输入的支持(即 #6613,在 v0.5.5 版本中发布)以来一直存在。</p> CVE-2019-13142:Razer Surround权限提升漏洞深度分析 https://blog.qife122.com/p/cve-2019-13142razer-surround%E6%9D%83%E9%99%90%E6%8F%90%E5%8D%87%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E5%88%86%E6%9E%90/ Fri, 26 Sep 2025 01:46:54 +0800 https://blog.qife122.com/p/cve-2019-13142razer-surround%E6%9D%83%E9%99%90%E6%8F%90%E5%8D%87%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E5%88%86%E6%9E%90/ <h1 id="cve-2019-13142razer-surround-11630-eop">CVE-2019-13142:Razer Surround 1.1.63.0 EoP</h1> <p><strong>版本</strong>:Razer Surround 1.1.63.0<br> <strong>测试操作系统</strong>:Windows 10 1803 (x64)<br> <strong>漏洞类型</strong>:通过不安全的文件夹/文件权限实现权限提升</p> <h2 id="目的">目的</h2> <p>我希望这篇文章能够激励那些认为漏洞研究令人生畏的初学者。虽然这个漏洞可能被认为很简单,但本文的主要目的是概述如何入门漏洞研究的方法论和寻找方向。此外,我也希望提醒大家不要忽视那些容易发现的漏洞,无论组织规模有多大。</p> CVE-2019-13142:Razer Surround 1.1.63.0权限提升漏洞深度剖析 https://blog.qife122.com/p/cve-2019-13142razer-surround-1.1.63.0%E6%9D%83%E9%99%90%E6%8F%90%E5%8D%87%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E5%89%96%E6%9E%90/ Tue, 23 Sep 2025 08:47:09 +0800 https://blog.qife122.com/p/cve-2019-13142razer-surround-1.1.63.0%E6%9D%83%E9%99%90%E6%8F%90%E5%8D%87%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E5%89%96%E6%9E%90/ <h1 id="cve-2019-13142razer-surround-11630-eop">CVE-2019-13142:Razer Surround 1.1.63.0 EoP</h1> <p><strong>版本</strong>:Razer Surround 1.1.63.0<br> <strong>测试操作系统</strong>:Windows 10 1803 (x64)<br> <strong>漏洞类型</strong>:通过不安全文件夹/文件权限实现的Razer Surround权限提升</p> <h2 id="目的">目的</h2> <p>我希望这篇文章能够激励那些认为漏洞研究令人生畏的初学者。虽然这个漏洞可能被认为很简单,但本文的主要目的是阐述如何入门漏洞研究的方法论和关注点。此外,我也想提醒大家不要忽视那些容易发现的漏洞,无论目标组织规模有多大。</p>