CVE-2026-56340

Nome do Software Vulnerável e Versões Afetadas vLLM versões 0.10.2 até 0.12.x

Descrição O processamento de embeddings multimodais carece de validação de tensores esparsos. Como o PyTorch desativa as verificações de invariantes de tensores esparsos por padrão, um invasor pode enviar solicitações de embedding manipuladas com índices de tensor malformados, como valores negativos ou fora dos limites, quando o recurso prompt-embeds está habilitado. Isso pode causar travamentos, exaustão de recursos resultando em negação de serviço ou potencial corrupção de memória do tipo out-of-bounds/write-what-where.

Recomendações Atualize para a versão 0.13.0 ou posterior. Como medida paliativa temporária, desative o recurso prompt-embeds para minimizar o risco de exploração.