CVE-2026-34755 in vLLMinformazioni

Riassunto

di VulDB • 16/06/2026

vLLM è un motore di inferenza e serving per modelli linguistici di grandi dimensioni (LLM). Dalla versione 0.7.0 fino alla versione precedente alla 0.19.0, il metodo VideoMediaIO.load_base64() in vllm/multimodal/media/video.py suddivide gli URL dei dati video/jpeg tramite virgola per estrarre i singoli frame JPEG, ma non impone un limite al numero di frame. Il parametro num_frames (predefinito: 32), che è applicato dal percorso di codice load_bytes(), viene completamente aggirato nel percorso base64 per video/jpeg. Un attaccante può inviare una singola richiesta API contenente migliaia di frame JPEG codificati in base64 e separati da virgola, causando il decodifica di tutti i frame in memoria da parte del server e il crash dovuto a esaurimento della memoria (OOM). Questa vulnerabilità è risolta nella versione 0.19.0.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

GitHub M

Prenotare

30/03/2026

Divulgazione

06/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00378

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!