CVE-2026-55646 in vLLMinformazioni

Riassunto

di VulDB • 06/07/2026

vLLM è un motore di inferenza e serving per modelli linguistici di grandi dimensioni (Large Language Models). Dalla versione 0.22.0 alla 0.23.0, gli endpoint /v1/audio/transcriptions e /v1/audio/translations chiamano request.file.read() per caricare completamente in memoria il file audio caricato prima che vLLM verifichi il limite di dimensione compressa dell'upload VLLM_MAX_AUDIO_CLIP_FILESIZE_MB (impostazione predefinita 25 MB) nella fase successiva del preprocessing speech-to-text. Di conseguenza, un chiamante API con accesso a questi endpoint può inviare un upload multipart di dimensioni eccessive e indurre vLLM ad allocare una quantità di memoria proporzionale alla dimensione del file caricato prima che la richiesta venga rifiutata per eccedenza dimensionale, causando pressione sulla memoria o l'interruzione del processo in base ai limiti delle risorse della distribuzione. Questo problema è stato risolto nella versione 0.24.0.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

GitHub M

Prenotare

17/06/2026

Divulgazione

06/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!