CVE-2026-44222 in vllminfo

Zusammenfassung

von VulDB • 13.05.2026

vLLM ist eine Inferenz- und Serving-Engine für Large Language Models (LLMs). Ab Version 0.6.1 bis vor 0.20.0 besteht eine Token Injection-Schwachstelle in der multimodalen Verarbeitung von vLLM. Unautentifizierte, textbasierte Prompts, die spezielle Tokens enthalten, werden als Steuerbefehle interpretiert. Bild- und Video-Platzhaltersequenzen, die ohne passende Daten bereitgestellt werden, führen dazu, dass vLLM während der Berechnung der Eingangsposition in leere Gitter indiziert, was einen unbehandelten IndexError auslöst und den Worker beendet oder die Verfügbarkeit beeinträchtigt. Multimodale Pfade, die auf image_grid_thw/video_grid_thw basieren, sind betroffen. Diese Schwachstelle wurde in Version 0.20.0 behoben.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

05.05.2026

Veröffentlichung

12.05.2026

Moderieren

akzeptiert

Eintrag

VDB-363405

CPE

bereit

EPSS

0.00014

KEV

nein

Aktivitäten

very low

Sektor

Energy, Hospital, ...

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-44222
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-44222
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-44222/

ZurückÜbersichtWeiter

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!