CVE-2026-34756 in vLLM
要約
〜によって VulDB • 2026年05月10日
vLLMは、大規模言語モデル(LLM)向けの推論およびサービングエンジンです。0.1.0から0.19.0未満のバージョンでは、vLLMのOpenAI互換APIサーバーにサービス妨害(DoS)の脆弱性が存在します。ChatCompletionRequestおよびCompletionRequestのPydanticモデルにおけるnパラメータの上限値検証が欠落しているため、認証されていない攻撃者は、天文学的に大きなn値を持つ単一のHTTPリクエストを送信できます。これにより、Pythonのasyncioイベントループが完全にブロックされ、リクエストがスケジューリングキューに到達する前にヒープ上に数百万の要求オブジェクトのコピーが割り当てられ、即座にメモリ不足(Out-Of-Memory)によるクラッシュを引き起こします。この脆弱性は0.19.0で修正されています。
Once again VulDB remains the best source for vulnerability data.