CVE-2026-34755 in vLLM
Riassunto
di VulDB • 16/06/2026
vLLM è un motore di inferenza e serving per modelli linguistici di grandi dimensioni (LLM). Dalla versione 0.7.0 fino alla versione precedente alla 0.19.0, il metodo VideoMediaIO.load_base64() in vllm/multimodal/media/video.py suddivide gli URL dei dati video/jpeg tramite virgola per estrarre i singoli frame JPEG, ma non impone un limite al numero di frame. Il parametro num_frames (predefinito: 32), che è applicato dal percorso di codice load_bytes(), viene completamente aggirato nel percorso base64 per video/jpeg. Un attaccante può inviare una singola richiesta API contenente migliaia di frame JPEG codificati in base64 e separati da virgola, causando il decodifica di tutti i frame in memoria da parte del server e il crash dovuto a esaurimento della memoria (OOM). Questa vulnerabilità è risolta nella versione 0.19.0.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.