← 戻る
CVE-2026-5497
high
CVSS 7.5
vLLM versions 0.8.0 and later are vulnerable to an Out-of-Memory (OOM) Denial of Service (DoS)...
概要
vLLM versions 0.8.0 and later are vulnerable to an Out-of-Memory (OOM) Denial of Service (DoS)...
AI要約 openai / gpt-4o
vLLMのバージョン0.8.0以降で、`VideoMediaIO.load_base64()`メソッドによるフレーム数制限のない処理のために、メモリ不足のDoS攻撃を受ける可能性があります。攻撃者は大量のBase64エンコードされたJPEGフレームを含むリクエストを送信してサーバをクラッシュさせることができます。
❓ 何が問題か
vLLMの脆弱性はフレーム数制限のないメモリ不足DoS攻撃です。
📍 影響範囲
`VideoMediaIO.load_base64()`メソッド
🔥 重要度
認証不要で攻撃可能なため、高リスクです。
🔧 修正方法
フレーム数制限を追加してメモリの消費を制限します。
🛡️ 暫定回避
一時的な回避策は情報なし。
🔍 検知方法
大量のJEPGデコードが発生する場合に影響を確認可能です。
参照URL
- exploit 134c704f-9b21-4f2e-91b3-4a467353bcc0
- patch [email protected]
- web https://nvd.nist.gov/vuln/detail/CVE-2026-5497
- web https://github.com/advisories/GHSA-wcwg-c5fc-9vrc
- web 0b0ca135-0b70-47e7-9f44-1890c2a1c46c
- web 0b0ca135-0b70-47e7-9f44-1890c2a1c46c
- web 0b0ca135-0b70-47e7-9f44-1890c2a1c46c
- web 0b0ca135-0b70-47e7-9f44-1890c2a1c46c
- web 0b0ca135-0b70-47e7-9f44-1890c2a1c46c