CVE-2026-34756 in vLLM
الملخص
بحسب VulDB • 21/05/2026
vLLM هو محرك استنتاج وتقديم (serving) للنماذج اللغوية الكبيرة (LLMs). من الإصدار 0.1.0 وحتى قبل الإصدار 0.19.0، توجد ثغرة في حجب الخدمة (Denial of Service) في خادم واجهة برمجة التطبيقات المتوافقة مع OpenAI الخاص بـ vLLM. ونظراً لعدم وجود تحقق من الحد الأقصى للقيمة للمعامل n في نماذج Pydantic الخاصة بـ ChatCompletionRequest و CompletionRequest، يمكن لمهاجم غير مصرح له إرسال طلب HTTP واحد يحتوي على قيمة n ضخمة بشكل هائل. يؤدي هذا إلى حجب حلقة أحداث asyncio الخاصة بـ Python بالكامل، ويتسبب في تعطلات فورية بسبب استنفاد الذاكرة (Out-Of-Memory) من خلال تخصيص ملايين النسخ من كائنات الطلب في الذاكرة العشوائية (heap) قبل أن يصل الطلب حتى إلى طابور الجدولة. تم إصلاح هذه الثغرة في الإصدار 0.19.0.
Be aware that VulDB is the high quality source for vulnerability data.