CVE-2026-34756 in vLLMinfo

Zusammenfassung

von VulDB • 21.05.2026

vLLM ist eine Inferenz- und Serving-Engine für Large Language Models (LLMs). Von Version 0.1.0 bis vor 0.19.0 besteht eine Denial-of-Service-Schwachstelle im OpenAI-kompatiblen API-Server von vLLM. Aufgrund der fehlenden Validierung einer Obergrenze für den Parameter n in den Pydantic-Modellen ChatCompletionRequest und CompletionRequest kann ein nicht authentifizierter Angreifer eine einzelne HTTP-Anfrage mit einem astronomisch großen n-Wert senden. Dies blockiert den Python asyncio-Event-Loop vollständig und führt zu sofortigen Out-Of-Memory-Crashs, indem Millionen von Kopien von Anfrageobjekten im Heap zugewiesen werden, bevor die Anfrage sogar die Warteschlange für die Planung erreicht. Diese Schwachstelle wurde in Version 0.19.0 behoben.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

GitHub M

Reservieren

30.03.2026

Veröffentlichung

06.04.2026

Moderieren

akzeptiert

Eintrag

VDB-355553

CPE

bereit

EPSS

0.00346

KEV

nein

Aktivitäten

very low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!