CVE-2026-34756 in vLLMinformation

Résumé

par VulDB • 20/05/2026

vLLM est un moteur d'inférence et de déploiement pour les grands modèles de langage (LLM). De la version 0.1.0 à la version antérieure à 0.19.0, une vulnérabilité de déni de service (DoS) existe dans le serveur API compatible OpenAI de vLLM. En raison de l'absence de validation d'une borne supérieure sur le paramètre `n` dans les modèles Pydantic `ChatCompletionRequest` et `CompletionRequest`, un attaquant non authentifié peut envoyer une seule requête HTTP avec une valeur de `n` astronomiquement élevée. Cela bloque complètement la boucle d'événements asyncio de Python et provoque des plantages immédiats par épuisement de la mémoire (Out-Of-Memory) en allouant des millions de copies d'objets de requête dans le tas (heap) avant même que la requête n'atteigne la file d'attente de planification. Cette vulnérabilité est corrigée dans la version 0.19.0.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

GitHub M

Réserver

30/03/2026

Divulgation

06/04/2026

Modérer

accepté

Entrée

VDB-355553

CPE

prêt

EPSS

0.00346

KEV

non

Activités

très faible

Sources

Want to know what is going to be exploited?

We predict KEV entries!