CVE-2026-54233
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 16 — wyżej niż 16% wszystkich znanych CVE
Streszczenie
vLLM to silnik inferencji i serwowania dużych modeli językowych. W wersjach przed 0.23.1rc0, punkt końcowy /v1/audio/transcriptions ograniczał rozmiar przesyłanych plików skompresowanych, ale nie dekodowanych danych PCM, co mogło prowadzić do nadmiernego zużycia zasobów.
Ocena ryzyka
Organizacje mogą doświadczyć problemów z wydajnością lub awarii systemu z powodu nadmiernego obciążenia spowodowanego dużymi plikami PCM. To może prowadzić do przerw w dostępności usług.
Rekomendacja
Zaleca się aktualizację do wersji 0.23.1rc0 lub nowszej, aby zabezpieczyć się przed tą podatnością.
Oryginalny opis (angielski, źródło NVD)
vLLM is an inference and serving engine for large language models (LLMs). Prior to 0.23.1rc0, vLLM's /v1/audio/transcriptions endpoint limits compressed upload size but not decoded PCM output. A 25MB OPUS file expands to ~14.9GB of float32 PCM at decode time. This vulnerability is fixed in 0.23.1rc0.

