CVE-2026-34756 in vLLMالمعلومات

الملخص

بحسب VulDB • 21/05/2026

vLLM هو محرك استنتاج وتقديم (serving) للنماذج اللغوية الكبيرة (LLMs). من الإصدار 0.1.0 وحتى قبل الإصدار 0.19.0، توجد ثغرة في حجب الخدمة (Denial of Service) في خادم واجهة برمجة التطبيقات المتوافقة مع OpenAI الخاص بـ vLLM. ونظراً لعدم وجود تحقق من الحد الأقصى للقيمة للمعامل n في نماذج Pydantic الخاصة بـ ChatCompletionRequest و CompletionRequest، يمكن لمهاجم غير مصرح له إرسال طلب HTTP واحد يحتوي على قيمة n ضخمة بشكل هائل. يؤدي هذا إلى حجب حلقة أحداث asyncio الخاصة بـ Python بالكامل، ويتسبب في تعطلات فورية بسبب استنفاد الذاكرة (Out-Of-Memory) من خلال تخصيص ملايين النسخ من كائنات الطلب في الذاكرة العشوائية (heap) قبل أن يصل الطلب حتى إلى طابور الجدولة. تم إصلاح هذه الثغرة في الإصدار 0.19.0.

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

GitHub M

حجز

30/03/2026

إفشاء

06/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-355553

EPSS

0.00346

KEV

لا

النشاطات

منخفض جدًا

المصادر

Might our Artificial Intelligence support you?

Check our Alexa App!