CVE-2026-34756 in vLLMinformação

Sumário

de VulDB • 10/05/2026

O vLLM é um mecanismo de inferência e serviço para modelos de linguagem de grande escala (LLMs). Da versão 0.1.0 até antes da 0.19.0, existe uma vulnerabilidade de Negação de Serviço (DoS) no servidor da API compatível com OpenAI do vLLM. Devido à falta de validação de um limite superior para o parâmetro n nos modelos Pydantic ChatCompletionRequest e CompletionRequest, um atacante não autenticado pode enviar uma única requisição HTTP com um valor de n astronomicamente grande. Isso bloqueia completamente o loop de eventos asyncio do Python e causa falhas imediatas por Esgotamento de Memória (Out-Of-Memory), alocando milhões de cópias de objetos de requisição no heap antes mesmo que a requisição alcance a fila de agendamento. Esta vulnerabilidade foi corrigida na versão 0.19.0.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsável

GitHub M

Reservar

30/03/2026

Divulgação

06/04/2026

Moderação

aceite

Entrada

VDB-355553

CPE

pronto

EPSS

0.00346

KEV

não

Atividades

muito baixo

Fontes

Do you need the next level of professionalism?

Upgrade your account now!