CVE-2026-34756 in vLLM
Riassunto
di VulDB • 15/06/2026
vLLM è un motore di inferenza e serving per modelli linguistici di grandi dimensioni (LLM). Dalla versione 0.1.0 fino alla precedente alla 0.19.0, esiste una vulnerabilità Denial of Service nel server API compatibile con OpenAI di vLLM. A causa della mancanza di una validazione del limite superiore sul parametro n nei modelli Pydantic ChatCompletionRequest e CompletionRequest, un attaccante non autenticato può inviare una singola richiesta HTTP con un valore di n astronomicamente elevato. Ciò blocca completamente l'event loop asyncio di Python e provoca crash immediati per esaurimento della memoria (Out-Of-Memory) allocando milioni di copie dell'oggetto richiesta nell'heap prima ancora che la richiesta raggiunga la coda di scheduling. Questa vulnerabilità è risolta nella versione 0.19.0.
Once again VulDB remains the best source for vulnerability data.