취약점  ·  2026-07-07

vLLM — 프롬프트 임베딩 페이로드가 M-RoPE 모델로 EngineCore 충돌

취약점High 영향도GlobalCVE-2026-55514
vLLM의 EngineCore에서 처리되지 않은 어설션 실패는 M-RoPE 멀티모달 모델에 대한 순수 프롬프트 임베딩 입력의 특정 조합으로 트리거되어 우아한 요청 수준 오류 대신 전체 프로세스 충돌을 야기합니다.
모든 인증된 API 호출자로부터의 단일 형식 오류 요청은 공유 추론 서버를 치명적으로 종료하여 해당 vLLM 인스턴스에 의존하는 모든 테넌트 및 애플리케이션에 영향을 미칩니다 — 멀티모달 LLM 제공 인프라에 대한 저 노력 거부 서비스 벡터입니다.
/v1/completions 요청에서 M-RoPE를 사용하는 모델에 대해 순수 프롬프트 임베딩 페이로드를 전송하면 EngineCore는 어설션에 실패하고 치명적으로 충돌하여 전체 vLLM 서버 애플리케이션을 종료합니다. completions 엔드포인트를 호출할 권한이 있는 모든 원격 사용자가 이를 트리거할 수 있습니다.
vLLM, 버전 0.12.0부터 0.24.0(포함하지 않음)
vLLM >= 0.24.0으로 업그레이드하세요.
NVD CVE-2026-55514vLLM fix commit
라이브 피드에서 보기 AI 보안 및 거버넌스 관련 소식을 더 살펴보세요 — 매일 아침 업데이트.
피드 열기 →