CVE-2026-34755 in vLLMinfo

Zusammenfassung

von VulDB • 14.05.2026

vLLM ist eine Inferenz- und Serving-Engine für Large Language Models (LLMs). Ab Version 0.7.0 bis vor 0.19.0 teilt die Methode VideoMediaIO.load_base64() in vllm/multimodal/media/video.py Video-/JPEG-Daten-URLs durch Kommas, um einzelne JPEG-Frames zu extrahieren, erzwingt jedoch keine Begrenzung der Frame-Anzahl. Der Parameter num_frames (Standardwert: 32), der im Code-Pfad load_bytes() durchgesetzt wird, wird im Video-/JPEG-Base64-Pfad vollständig umgangen. Ein Angreifer kann eine einzelne API-Anfrage senden, die Tausende von durch Kommas getrennten, base64-codierten JPEG-Frames enthält, wodurch der Server alle Frames in den Speicher decodiert und mit einem Out-of-Memory (OOM)-Fehler abstürzt. Diese Schwachstelle wurde in Version 0.19.0 behoben.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

GitHub M

Reservieren

30.03.2026

Veröffentlichung

06.04.2026

Moderieren

akzeptiert

Eintrag

VDB-355556

CPE

bereit

EPSS

0.00378

KEV

nein

Aktivitäten

very low

Quellen

Do you need the next level of professionalism?

Upgrade your account now!