CVE-2026-34756

Nome do Software Vulnerável e Versões Afetadas vLLM versões 0.1.0 até 0.18.9

Descrição Uma vulnerabilidade de Negação de Serviço existe no servidor de API compatível com OpenAI do vLLM. Devido à falta de uma validação de limite superior no parâmetro n nos modelos Pydantic ChatCompletionRequest e CompletionRequest, um invasor não autenticado pode enviar uma única solicitação HTTP com um valor n astronomicamente grande. Isso bloqueia completamente o loop de eventos asyncio do Python e causa falhas imediatas de falta de memória, alocando milhões de cópias de objetos de solicitação no heap antes mesmo que a solicitação chegue à fila de agendamento. A causa raiz reside na ausência de verificações de limite superior durante a análise da solicitação e o agendamento assíncrono. A vulnerabilidade afeta qualquer indivíduo ou organização que hospede um servidor de API vLLM voltado para o público e plataformas SaaS/AI-as-a-Service que atuam como proxies reversos sem validação rigorosa da carga útil do corpo HTTP ou limitações de taxa.

Recomendações Atualize para a versão 0.19.0 ou posterior.