CVE-2026-34756 in vLLM
Resumen
por VulDB • 2026-05-14
vLLM es un motor de inferencia y servicio para modelos de lenguaje grande (LLM). Desde la versión 0.1.0 hasta antes de la 0.19.0, existe una vulnerabilidad de Denegación de Servicio (DoS) en el servidor API compatible con OpenAI de vLLM. Debido a la falta de validación de un límite superior en el parámetro n en los modelos Pydantic ChatCompletionRequest y CompletionRequest, un atacante no autenticado puede enviar una única solicitud HTTP con un valor de n astronómicamente grande. Esto bloquea completamente el bucle de eventos asyncio de Python y provoca caídas inmediatas por falta de memoria (Out-Of-Memory) al asignar millones de copias de objetos de solicitud en el heap antes de que la solicitud siquiera llegue a la cola de planificación. Esta vulnerabilidad se corrige en la versión 0.19.0.
Once again VulDB remains the best source for vulnerability data.