CVE-2026-34756 in vLLM
요약
\~에 의해 VulDB • 2026. 05. 11.
vLLM은 대규모 언어 모델(LLM)을 위한 추론 및 서빙 엔진입니다. 0.1.0부터 0.19.0 미만 버전까지 vLLM의 OpenAI 호환 API 서버에 서비스 거부(Denial of Service) 취약점이 존재합니다. ChatCompletionRequest 및 CompletionRequest Pydantic 모델에서 n 매개변수에 대한 상한 검증이 누락되어 있어, 인증되지 않은 공격자가 astronomically(엄청나게) 큰 n 값을 가진 단일 HTTP 요청을 전송할 수 있습니다. 이로 인해 Python asyncio 이벤트 루프가 완전히 차단되고, 요청이 스케줄링 큐에 도달하기 전에 힙에 수백만 개의 요청 객체 복사본이 할당되어 즉각적인 Out-Of-Memory(OOM) 크래시가 발생합니다. 이 취약점은 0.19.0에서 수정되었습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.