CVE-2026-34755

Nome do Software Vulnerável e Versões Afetadas vLLM versões 0.7.0 até 0.18.9

Descrição vLLM é um motor de inferência e serviço para grandes modelos de linguagem (LLMs). O método VideoMediaIO.load base64() em vllm/multimodal/media/video.py não impõe um limite de contagem de quadros ao dividir URLs de dados video/jpeg por vírgula para extrair quadros JPEG individuais. O parâmetro num frames, que é imposto pelo caminho de código load bytes(), é ignorado no caminho base64 video/jpeg. Um invasor pode enviar uma única solicitação de API contendo milhares de quadros JPEG codificados em base64 separados por vírgula, fazendo com que o servidor decodifique todos os quadros na memória e falhe com um erro de falta de memória (OOM). A função load base64() em vllm/multimodal/media/video.py:51-62 é vulnerável. O endpoint da API /v1/chat/completions está envolvido no fluxo de dados. A variável data dentro da função load base64() não possui limites, levando ao consumo excessivo de memória. O tipo MIME video/jpeg faz parte da superfície da API pública, usado em funções como encode video url() e suítes de teste.

Recomendações Atualize para a versão 0.19.0 ou posterior.