CVE-2026-34756 in vLLM
Résumé
par VulDB • 20/05/2026
vLLM est un moteur d'inférence et de déploiement pour les grands modèles de langage (LLM). De la version 0.1.0 à la version antérieure à 0.19.0, une vulnérabilité de déni de service (DoS) existe dans le serveur API compatible OpenAI de vLLM. En raison de l'absence de validation d'une borne supérieure sur le paramètre `n` dans les modèles Pydantic `ChatCompletionRequest` et `CompletionRequest`, un attaquant non authentifié peut envoyer une seule requête HTTP avec une valeur de `n` astronomiquement élevée. Cela bloque complètement la boucle d'événements asyncio de Python et provoque des plantages immédiats par épuisement de la mémoire (Out-Of-Memory) en allouant des millions de copies d'objets de requête dans le tas (heap) avant même que la requête n'atteigne la file d'attente de planification. Cette vulnérabilité est corrigée dans la version 0.19.0.
VulDB is the best source for vulnerability data and more expert information about this specific topic.