← Back
CVE-2026-5497
high
CVSS 7.5
vLLM versions 0.8.0 and later are vulnerable to an Out-of-Memory (OOM) Denial of Service (DoS)...
Summary
vLLM versions 0.8.0 and later are vulnerable to an Out-of-Memory (OOM) Denial of Service (DoS)...
AI summary openai / gpt-4o
vLLMのバージョン0.8.0以降で、`VideoMediaIO.load_base64()`メソッドによるフレーム数制限のない処理のために、メモリ不足のDoS攻撃を受ける可能性があります。攻撃者は大量のBase64エンコードされたJPEGフレームを含むリクエストを送信してサーバをクラッシュさせることができます。
❓ What is the problem
vLLMの脆弱性はフレーム数制限のないメモリ不足DoS攻撃です。
📍 Affected scope
`VideoMediaIO.load_base64()`メソッド
🔥 Severity
認証不要で攻撃可能なため、高リスクです。
🔧 How to fix
フレーム数制限を追加してメモリの消費を制限します。
🛡️ Workaround
一時的な回避策は情報なし。
🔍 Detection
大量のJEPGデコードが発生する場合に影響を確認可能です。
References
- exploit 134c704f-9b21-4f2e-91b3-4a467353bcc0
- patch [email protected]
- web https://nvd.nist.gov/vuln/detail/CVE-2026-5497
- web https://github.com/advisories/GHSA-wcwg-c5fc-9vrc
- web 0b0ca135-0b70-47e7-9f44-1890c2a1c46c
- web 0b0ca135-0b70-47e7-9f44-1890c2a1c46c
- web 0b0ca135-0b70-47e7-9f44-1890c2a1c46c
- web 0b0ca135-0b70-47e7-9f44-1890c2a1c46c
- web 0b0ca135-0b70-47e7-9f44-1890c2a1c46c