vLLM es una biblioteca de Python de código abierto diseñada para la inferencia y el servicio rápidos y eficientes de modelos de lenguaje grandes (LLM). Optimiza el uso de la memoria y el rendimiento computacional para permitir implementaciones de LLM de alto rendimiento y baja latencia. vLLM admite varias arquitecturas de modelos y plataformas de hardware.

¿Cómo actualizo vLLM a la última versión?

Puede actualizar vLLM a la última versión utilizando pip, el instalador de paquetes de Python. Ejecute el comando `pip install --upgrade vllm` en su terminal o símbolo del sistema. Esto descargará e instalará la versión más reciente de vLLM, incluyendo cualquier parche de seguridad y corrección de errores.

¿Cuáles son los riesgos de no actualizar vLLM?

No actualizar vLLM puede exponer sus sistemas a varios riesgos de seguridad, incluyendo la ejecución remota de código (RCE), la falsificación de solicitudes del lado del servidor (SSRF) y los ataques de denegación de servicio (DoS). Estas vulnerabilidades pueden permitir a los atacantes comprometer su servidor, acceder a datos confidenciales o interrumpir sus servicios.

¿Dónde puedo encontrar más información sobre las vulnerabilidades de vLLM?

Puede encontrar información detallada sobre las vulnerabilidades de vLLM en el repositorio oficial de vLLM en GitHub, los avisos de seguridad y las bases de datos CVE. Las plataformas de supervisión de seguridad como #SITE_NAME# también proporcionan información actualizada y alertas sobre vulnerabilidades conocidas en vLLM y otros componentes de software.

Múltiples vulnerabilidades en vLLM que impactan la seguridad

Se han descubierto múltiples vulnerabilidades críticas en vLLM, que afectan a los usuarios que confían en él para la inferencia y el servicio de modelos de lenguaje grandes. Estas vulnerabilidades incluyen la ejecución remota de código (RCE), la falsificación de solicitudes del lado del servidor (SSRF) y los riesgos de denegación de servicio (DoS). Se recomienda a los usuarios que actualicen a la versión 0.18.0 o posterior de vLLM para mitigar estos riesgos.

Estas vulnerabilidades varían de media a crítica, lo que podría permitir la denegación de servicio o la ejecución remota de código.

¿Qué es Vllm?

Vllm es un componente para python que sirve como motor de inferencia y servicio para modelos de lenguaje grandes (LLM). Está diseñado para ser rápido y eficiente, permitiendo a los usuarios desplegar y servir LLM con alto rendimiento y baja latencia. Para obtener más información, puede buscar todos los CVE de vllm.

CVE-2026-22773: Vulnerabilidad DoS de vLLM en los modelos de visión Idefics3

CVSS6.5

Versiones afectadasLos usuarios de las versiones 0.9.2 y anteriores de vLLM se ven afectados, específicamente aquellos que utilizan modelos basados en la arquitectura Idefics3, como `HuggingFaceTB/SmolVLM-Instruct`.

Severidad media: DoS al bloquear el motor.

La puntuación EPSS de 0.021 indica una baja probabilidad de explotación.

Existe una vulnerabilidad de denegación de servicio en la implementación del modelo de visión Idefics3 de vLLM. El envío de una imagen de 1x1 píxeles especialmente diseñada puede provocar una discrepancia en la dimensión del tensor, lo que lleva a un error de tiempo de ejecución no controlado y a la terminación del servidor.

Cómo solucionar CVE-2026-22773 en vLLM

Parchear en 24h

1.Actualice vLLM a la versión 0.12.0 o posterior.

Actualizar vLLM

pip install --upgrade vllm

Solución temporal: Implemente la validación de entrada para comprobar las dimensiones de la imagen y gestionar los posibles errores de tiempo de ejecución durante el procesamiento de la imagen.

NextGuard marca automáticamente CVE-2026-22773 si vLLM aparece en alguno de sus proyectos supervisados; no se requiere búsqueda manual.

CVE-2026-24779: Vulnerabilidad SSRF de vLLM a través de MediaConnector

CVSS7.1

Versiones afectadasLos usuarios de las versiones 0.9.2 y anteriores de vLLM se ven afectados. Esto es especialmente crítico en entornos contenerizados como `llm-d`.

Alta severidad: SSRF que conduce al acceso a la red interna.

La puntuación EPSS de 0.016 indica una baja probabilidad de explotación.

Existe una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en la clase `MediaConnector` de vLLM. Las discrepancias en el análisis de URL permiten a los atacantes eludir las restricciones de nombre de host y obligar al servidor vLLM a realizar solicitudes arbitrarias a los recursos de la red interna.

Cómo solucionar CVE-2026-24779 en vLLM

Parchear en 24h

1.Actualice vLLM a la versión 0.14.1 o posterior.

Actualizar vLLM

pip install --upgrade vllm

NextGuard marca automáticamente CVE-2026-24779 si vLLM aparece en alguno de sus proyectos supervisados; no se requiere búsqueda manual.

CVE-2026-22778: Vulnerabilidad RCE de vLLM en el procesamiento de vídeo

CVSS9.8

Versiones afectadasLas instancias de vLLM (versiones >= 0.8.3 y < 0.14.1) que sirven modelos de vídeo se ven afectadas. Las implementaciones que no sirven un modelo de vídeo no se ven afectadas.

Severidad crítica: Ejecución remota de código.

La puntuación EPSS de 0.084 indica una probabilidad moderada de explotación.

Una cadena de vulnerabilidades en vLLM permite la ejecución remota de código (RCE). Un mensaje de error de PIL filtra las direcciones de memoria, eludiendo ASLR, y un desbordamiento de montón en el decodificador JPEG2000 en OpenCV/FFmpeg permite el secuestro de la ejecución del código.

Cómo solucionar CVE-2026-22778 en vLLM

Parchear ahora

1.Actualice vLLM a la versión 0.14.1 o posterior.

Actualizar vLLM

pip install --upgrade vllm

Solución temporal: No sirva modelos de vídeo o desactive la parte de contenido `video_url` en la API.

NextGuard marca automáticamente CVE-2026-22778 si vLLM aparece en alguno de sus proyectos supervisados; no se requiere búsqueda manual.

CVE-2026-27893: La anulación de confianza codificada en vLLM permite RCE

CVSS8.8

Versiones afectadasLos usuarios de las versiones 0.17.1 y anteriores de vLLM se ven afectados, incluso cuando utilizan el indicador `--trust-remote-code=False`.

Alta severidad: RCE a pesar de la exclusión explícita del usuario.

La puntuación EPSS de 0.033 indica una baja probabilidad de explotación.

Dos archivos de implementación de modelos en vLLM codifican `trust_remote_code=True`, eludiendo la exclusión de seguridad explícita `--trust-remote-code=False` del usuario. Esto permite la ejecución remota de código a través de repositorios de modelos maliciosos.

Cómo solucionar CVE-2026-27893 en vLLM

Parchear ahora

1.Actualice vLLM a la versión 0.18.0 o posterior.

Actualizar vLLM

pip install --upgrade vllm

NextGuard marca automáticamente CVE-2026-27893 si vLLM aparece en alguno de sus proyectos supervisados; no se requiere búsqueda manual.

CVE-2026-34760: Diferencias en la implementación de la reducción de audio de vLLM

CVSS5.9

Versiones afectadasLos usuarios de las versiones 0.5.5 hasta (pero sin incluir) 0.18.0 de vLLM se ven afectados.

Severidad media: Procesamiento de audio inconsistente.

La puntuación EPSS no está disponible para este CVE.

Existe una discrepancia en la implementación de la reducción de audio de vLLM. Librosa utiliza por defecto numpy.mean para la reducción mono, mientras que el estándar ITU-R BS.775-4 especifica un algoritmo de reducción ponderada, lo que provoca inconsistencias entre el audio escuchado por los humanos y el audio procesado por los modelos de IA.

Cómo solucionar CVE-2026-34760 en vLLM

Parchear en 7 días

1.Actualice vLLM a la versión 0.18.0 o posterior.

Actualizar vLLM

pip install --upgrade vllm

NextGuard marca automáticamente CVE-2026-34760 si vLLM aparece en alguno de sus proyectos supervisados; no se requiere búsqueda manual.

Manténgase al tanto de las vulnerabilidades de Python

Detecte y corrija de forma proactiva las vulnerabilidades en sus proyectos de Python. Empiece a supervisar sus dependencias de python hoy mismo.

Comparar planes

Preguntas frecuentes

Se han identificado múltiples vulnerabilidades en vLLM, lo que destaca la importancia de mantener sus dependencias actualizadas. Regularmente vea todas las vulnerabilidades de python y aplique parches de seguridad para proteger sus sistemas. Priorice la actualización a la versión 0.18.0 o posterior de vLLM para solucionar estos problemas críticos.

Temas relacionados

Ejecución Remota de CódigoFalsificación de Solicitudes del Lado del ServidorDenegación de ServicioSeguridad de PythonGestión de Dependencias