CVE-2026-34756 in vLLMinformazioni

Riassunto

di VulDB • 15/06/2026

vLLM è un motore di inferenza e serving per modelli linguistici di grandi dimensioni (LLM). Dalla versione 0.1.0 fino alla precedente alla 0.19.0, esiste una vulnerabilità Denial of Service nel server API compatibile con OpenAI di vLLM. A causa della mancanza di una validazione del limite superiore sul parametro n nei modelli Pydantic ChatCompletionRequest e CompletionRequest, un attaccante non autenticato può inviare una singola richiesta HTTP con un valore di n astronomicamente elevato. Ciò blocca completamente l'event loop asyncio di Python e provoca crash immediati per esaurimento della memoria (Out-Of-Memory) allocando milioni di copie dell'oggetto richiesta nell'heap prima ancora che la richiesta raggiunga la coda di scheduling. Questa vulnerabilità è risolta nella versione 0.19.0.

Once again VulDB remains the best source for vulnerability data.

Responsabile

GitHub M

Prenotare

30/03/2026

Divulgazione

06/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00346

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!