JVN iPedia http://jvndb.jvn.jp Advisory JVNDB-2026-011964 vLLMは大規模言語モデル（LLM）の推論およびサービングエンジンです。バージョン0.1.0から0.19.0未満の間、vLLMのOpenAI互換APIサーバーにサービス拒否（DoS）脆弱性が存在していました。ChatCompletionRequestおよびCompletionRequestのPydanticモデルでnパラメータの上限検証が欠如していたため、認証されていない攻撃者が非常に大きなn値を持つ単一のHTTPリクエストを送信することが可能でした。これにより、Pythonのasyncioイベントループが完全にブロックされ、リクエストがスケジューリングキューに到達する前に数百万のリクエストオブジェクトコピーがヒープに割り当てられて即座にメモリ不足クラッシュが発生していました。この脆弱性はバージョン0.19.0で修正されています。 cpe:/a:vllm:vllm https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-011964.html Common Vulnerabilities and Exposures (CVE) CVE-2026-34756 https://www.cve.org/CVERecord?id=CVE-2026-34756 National Vulnerability Database (NVD) CVE-2026-34756 https://nvd.nist.gov/vuln/detail/CVE-2026-34756 GitHub OOM Denial of Service via Unbounded `n` Parameter in OpenAI API Server Advisory vllm-project/vllm GitHub https://github.com/vllm-project/vllm/security/advisories/GHSA-3mwp-wvh9-7528 JVNDB CWE-770 https://cwe.mitre.org/data/definitions/770.html 関連文書 fix(security): Add VLLM_MAX_N_SEQUENCES environment variable and enforce limit by jperezdealgaba Pull Request #37952 vllm-project/vllm GitHub https://github.com/vllm-project/vllm/pull/37952 関連文書 fix(security): Add VLLM_MAX_N_SEQUENCES environment variable and enfo… vllm-project/vllm@b111f8a GitHub https://github.com/vllm-project/vllm/commit/b111f8a61f100fdca08706f41f29ef3548de7380 2026-04-21T10:47:13+09:00 2026-04-21T10:47:13+09:00