मुफ्त स्कैन करें
MEDIUMCVE-2026-22773CVSS 6.5

vLLM अस्पष्ट आयामों वाले छवि पेलोड के माध्यम से Idefics3 विज़न मॉडल में DoS के लिए असुरक्षित है

प्लेटफ़ॉर्म

python

घटक

vllm

में ठीक किया गया

0.6.5

0.12.0

AI Confidence: highNVDEPSS 0.0%समीक्षित: मई 2026
NVD पर देखें
सहेजें

vLLM एक बड़े भाषा मॉडल (LLM) के लिए अनुमान और सेवा इंजन है। CVE-2026-22773 एक Denial of Service (DoS) भेद्यता है जो vLLM के संस्करण 0.6.4 से 0.9.2 तक मौजूद है। एक दुर्भावनापूर्ण अभिनेता एक विशेष रूप से तैयार 1x1 पिक्सेल छवि भेजकर vLLM इंजन को क्रैश कर सकता है, जिससे सर्वर पूरी तरह से बंद हो जाता है। इस समस्या को संस्करण 0.12.0 में ठीक कर दिया गया है।

Python

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

requirements.txt अपलोड करेंसमर्थित प्रारूप: requirements.txt · Pipfile.lock

प्रभाव और हमले की स्थितियाँ

यह भेद्यता हमलावर को vLLM सर्वर को पूरी तरह से बंद करने की अनुमति देती है, जिससे LLM सेवाओं की उपलब्धता बाधित होती है। चूंकि यह एक DoS भेद्यता है, इसलिए यह सीधे डेटा चोरी या सिस्टम समझौता नहीं करता है, लेकिन यह महत्वपूर्ण सेवाओं को अनुपलब्ध करके महत्वपूर्ण व्यवधान पैदा कर सकता है। हमलावर लगातार क्रैश अनुरोध भेजकर सर्वर को लंबे समय तक ऑफ़लाइन रख सकता है, जिससे उपयोगकर्ताओं और अनुप्रयोगों को नुकसान हो सकता है जो इस LLM इंजन पर निर्भर हैं। Idefics3 विजन मॉडल के साथ मल्टीमॉडल मॉडल का उपयोग करने वाले सिस्टम विशेष रूप से कमजोर हैं।

शोषण संदर्भ

यह भेद्यता 2026-01-13 को सार्वजनिक रूप से प्रकट हुई थी। वर्तमान में, इस CVE के लिए कोई ज्ञात सार्वजनिक प्रमाण-अवधारणा (PoC) नहीं है, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है। CISA ने अभी तक इस CVE को KEV में शामिल नहीं किया है। भेद्यता की गंभीरता मध्यम है, जो संभावित प्रभाव को दर्शाती है।

कौन जोखिम में हैअनुवाद हो रहा है…

Organizations and developers deploying vLLM for LLM inference and serving, particularly those utilizing multimodal models with the Idefics3 vision model, are at risk. Services that rely on vLLM for real-time inference or critical applications are especially vulnerable to the disruption caused by a denial-of-service attack.

पहचान के चरणअनुवाद हो रहा है…

• python / server: Monitor vLLM server logs for errors related to tensor dimension mismatches or runtime exceptions during image processing.

# Example: Check for specific error messages in the logs
import re
with open('vllm.log', 'r') as f:
    for line in f:
        if re.search(r'tensor dimension mismatch', line):
            print('Potential CVE-2026-22773 exploit attempt detected!')

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च

EPSS

0.02% (5% शतमक)

CISA SSVC

शोषणnone
स्वचालनीयno
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H6.5MEDIUMAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredLowहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityNoneसंवेदनशील डेटा उजागर होने का जोखिमIntegrityNoneअनधिकृत डेटा संशोधन का जोखिमAvailabilityHighसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
निम्न — कोई भी वैध उपयोगकर्ता खाता पर्याप्त है।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
कोई नहीं — गोपनीयता पर कोई प्रभाव नहीं।
Integrity
कोई नहीं — अखंडता पर कोई प्रभाव नहीं।
Availability
उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकvllm
विक्रेताosv
प्रभावित श्रेणीमें ठीक किया गया
>= 0.6.4, < 0.12.0 – >= 0.6.4, < 0.12.00.6.5
0.6.40.12.0

कमजोरी वर्गीकरण (CWE)

CWE-770

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन
प्रकाशन के -41 दिन बाद पैच

शमन और वर्कअराउंड

इस भेद्यता को कम करने के लिए, vLLM को संस्करण 0.12.0 या बाद के संस्करण में तुरंत अपग्रेड करने की अनुशंसा की जाती है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, इनपुट छवियों के आकार और प्रारूप को मान्य करने के लिए एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग किया जा सकता है, ताकि 1x1 पिक्सेल छवियों को फ़िल्टर किया जा सके। इसके अतिरिक्त, Idefics3 विजन मॉडल के साथ मल्टीमॉडल मॉडल के उपयोग को सीमित करने या अक्षम करने पर विचार करें जब तक कि अपग्रेड संभव न हो। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता को ठीक किया गया है, सर्वर को पुनरारंभ करें और एक सामान्य छवि भेजकर इंजन की स्थिरता का परीक्षण करें।

कैसे ठीक करें

लाइब्रेरी vLLM को संस्करण 0.12.0 या उससे ऊपर के संस्करण में अपडेट करें। यह Idefics3 मॉडलों को अस्पष्ट आयामों वाली छवियों को भेजने के कारण होने वाले सेवा से इनकार (Denial of Service) के भेद्यता को ठीक करेगा। अपडेट को Python पैकेज मैनेजर, pip का उपयोग करके किया जा सकता है।

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2026-22773 — Denial of Service vLLM में क्या है?

CVE-2026-22773 vLLM के संस्करण 0.6.4 से 0.9.2 तक एक भेद्यता है जो एक विशेष छवि भेजकर सर्वर को क्रैश कर सकती है।

क्या मैं CVE-2026-22773 में vLLM से प्रभावित हूं?

यदि आप vLLM के संस्करण 0.6.4 से 0.9.2 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।

मैं CVE-2026-22773 में vLLM को कैसे ठीक करूं?

vLLM को संस्करण 0.12.0 या बाद के संस्करण में अपग्रेड करें।

क्या CVE-2026-22773 सक्रिय रूप से शोषण किया जा रहा है?

वर्तमान में कोई ज्ञात सक्रिय शोषण नहीं है, लेकिन भेद्यता का शोषण किया जा सकता है।

मैं CVE-2026-22773 के लिए आधिकारिक vLLM सलाहकार कहां पा सकता हूं?

आधिकारिक सलाहकार के लिए vLLM परियोजना की वेबसाइट या GitHub रिपॉजिटरी देखें।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें