CVE-2026-34756 in vLLM
Sumário
de VulDB • 10/05/2026
O vLLM é um mecanismo de inferência e serviço para modelos de linguagem de grande escala (LLMs). Da versão 0.1.0 até antes da 0.19.0, existe uma vulnerabilidade de Negação de Serviço (DoS) no servidor da API compatível com OpenAI do vLLM. Devido à falta de validação de um limite superior para o parâmetro n nos modelos Pydantic ChatCompletionRequest e CompletionRequest, um atacante não autenticado pode enviar uma única requisição HTTP com um valor de n astronomicamente grande. Isso bloqueia completamente o loop de eventos asyncio do Python e causa falhas imediatas por Esgotamento de Memória (Out-Of-Memory), alocando milhões de cópias de objetos de requisição no heap antes mesmo que a requisição alcance a fila de agendamento. Esta vulnerabilidade foi corrigida na versão 0.19.0.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.