취약점  ·  2026-07-07

vLLM — 제한 없는 오디오 업로드 메모리 실현으로 DoS 가능

취약점Medium 영향도GlobalCVE-2026-55646
vLLM의 오디오 엔드포인트는 구성된 최대 파일 크기를 시행하기 전에 전체 업로드된 파일을 메모리에 읽어들여 제한의 목적을 무효화하고 메모리 소진 거부 서비스를 가능하게 합니다.
특정 vLLM 기능(오디오 전사)에 대한 좁지만 실제적인 DoS 벡터로 포인트 릴리스 내에서 이미 수정됨. 이 배치의 다른 vLLM CVE에 비해 낮은 영향 범위이지만 0.22.0–0.23.0 버전을 사용하는 사람들에게는 여전히 추적할 가치가 있습니다.
오디오 전사/번역 경로는 vLLM이 문서화된 VLLM_MAX_AUDIO_CLIP_FILESIZE_MB 제한을 확인하기 전에 업로드된 오디오 파일을 메모리에 완전히 실현하기 위해 request.file.read()를 호출하여 공격자가 크기 확인이 거부하기 전에 서버 메모리를 소진하도록 너무 큰 파일을 업로드할 수 있게 합니다.
vLLM, 버전 0.22.0부터 0.23.0
vLLM >= 0.24.0으로 업그레이드하세요. 이는 전체 실현 전에 파일 크기 제한을 시행합니다.
NVD CVE-2026-55646vLLM fix commit
라이브 피드에서 보기 AI 보안 및 거버넌스 관련 소식을 더 살펴보세요 — 매일 아침 업데이트.
피드 열기 →