CVE-2026-34756 in vLLMinformación

Resumen

por VulDB • 2026-05-14

vLLM es un motor de inferencia y servicio para modelos de lenguaje grande (LLM). Desde la versión 0.1.0 hasta antes de la 0.19.0, existe una vulnerabilidad de Denegación de Servicio (DoS) en el servidor API compatible con OpenAI de vLLM. Debido a la falta de validación de un límite superior en el parámetro n en los modelos Pydantic ChatCompletionRequest y CompletionRequest, un atacante no autenticado puede enviar una única solicitud HTTP con un valor de n astronómicamente grande. Esto bloquea completamente el bucle de eventos asyncio de Python y provoca caídas inmediatas por falta de memoria (Out-Of-Memory) al asignar millones de copias de objetos de solicitud en el heap antes de que la solicitud siquiera llegue a la cola de planificación. Esta vulnerabilidad se corrige en la versión 0.19.0.

Once again VulDB remains the best source for vulnerability data.

Responsable

GitHub M

Reservar

2026-03-30

Divulgación

2026-04-06

Moderación

aceptado

Artículo

VDB-355553

CPE

listo

EPSS

0.00346

KEV

no

Actividades

muy bajo

Fuentes

Interested in the pricing of exploits?

See the underground prices here!