脆弱性  ·  2026-07-07

vLLM — structured_outputs.regex パラメータを経由したコンパイル未完了タイムアウト正規表現 DoS

脆弱性High 影響度GlobalCVE-2026-55574
vLLM のストラクチャド出力機能はユーザー提供の正規表現をタイムアウトなしで制約付きデコーディング文法にコンパイルするため、作成された正規表現は文法コンパイラをハング状態にして無期限にサーバーリソースを消費でき、共有 vLLM インスタンス上の他のすべてのリクエストを拒否できます。
vLLM は多くの組織の本番 LLM 推論を支えています。コア ストラクチャド出力機能に対するリモート認証不要 DoS は、多くのダウンストリーム AI アプリケーションを提供する複数テナント推論クラスタを一度に停止させる可能性があります。
structured_outputs.regex API パラメータはユーザー提供の正規表現文字列を、コンパイルタイムアウトなく文法コンパイラバックエンド (xgrammar など) に直接渡すため、リモート認証不要の呼び出し元は、コンパイラをハング状態にして共有推論サーバーへのサービスを拒否する破滅的バックトラッキング正規表現を送信できます。
vLLM 推論/サービング エンジン、バージョン 0.24.0 より前
vLLM >= 0.24.0 にアップグレードしてください。これはストラクチャド出力正規表現処理にコンパイルタイムアウトを追加します。
NVD CVE-2026-55574vLLM fix commit
ライブフィードで見る AIセキュリティとガバナンスの関連情報をさらに見る — 毎朝更新。
フィードを開く →