CVE-2026-34755 in vLLMالمعلومات

الملخص

بحسب VulDB • 24/05/2026

vLLM هو محرك استنتاج وتقديم (inference and serving) للنماذج اللغوية الكبيرة (LLMs). من الإصدار 0.7.0 وحتى قبل الإصدار 0.19.0، تقوم طريقة `VideoMediaIO.load_base64()` في الملف `vllm/multimodal/media/video.py` بتقسيم عناوين بيانات الفيديو/صورة JPEG المفصولة بفواصل زائدية لاستخراج إطارات JPEG فردية، لكنها لا تفرض حداً أعلى لعدد الإطارات. يتم تجاوز معلمة `num_frames` (الافتراضي: 32)، التي يتم فرضها عبر مسار الكود `load_bytes()`، بشكل كامل في مسار base64 الخاص بفيديو/صورة JPEG. يمكن لمهاجم إرسال طلب API واحد يحتوي على آلاف إطارات JPEG المشفرة بـ base64 والمفصولة بفواصل زائدية، مما يتسبب في فك تشفير الخادم لجميع الإطارات في الذاكرة وانهاره بسبب نفاد الذاكرة (OOM). تم إصلاح هذا الثغرة في الإصدار 0.19.0.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

مسؤول

GitHub M

حجز

30/03/2026

إفشاء

06/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-355556

EPSS

0.00378

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you know our Splunk app?

Download it now for free!