प्लेटफ़ॉर्म
python
घटक
vllm
में ठीक किया गया
0.6.5
0.12.0
vLLM एक बड़े भाषा मॉडल (LLM) के लिए अनुमान और सेवा इंजन है। CVE-2026-22773 एक Denial of Service (DoS) भेद्यता है जो vLLM के संस्करण 0.6.4 से 0.9.2 तक मौजूद है। एक दुर्भावनापूर्ण अभिनेता एक विशेष रूप से तैयार 1x1 पिक्सेल छवि भेजकर vLLM इंजन को क्रैश कर सकता है, जिससे सर्वर पूरी तरह से बंद हो जाता है। इस समस्या को संस्करण 0.12.0 में ठीक कर दिया गया है।
यह भेद्यता हमलावर को vLLM सर्वर को पूरी तरह से बंद करने की अनुमति देती है, जिससे LLM सेवाओं की उपलब्धता बाधित होती है। चूंकि यह एक DoS भेद्यता है, इसलिए यह सीधे डेटा चोरी या सिस्टम समझौता नहीं करता है, लेकिन यह महत्वपूर्ण सेवाओं को अनुपलब्ध करके महत्वपूर्ण व्यवधान पैदा कर सकता है। हमलावर लगातार क्रैश अनुरोध भेजकर सर्वर को लंबे समय तक ऑफ़लाइन रख सकता है, जिससे उपयोगकर्ताओं और अनुप्रयोगों को नुकसान हो सकता है जो इस LLM इंजन पर निर्भर हैं। Idefics3 विजन मॉडल के साथ मल्टीमॉडल मॉडल का उपयोग करने वाले सिस्टम विशेष रूप से कमजोर हैं।
यह भेद्यता 2026-01-13 को सार्वजनिक रूप से प्रकट हुई थी। वर्तमान में, इस CVE के लिए कोई ज्ञात सार्वजनिक प्रमाण-अवधारणा (PoC) नहीं है, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है। CISA ने अभी तक इस CVE को KEV में शामिल नहीं किया है। भेद्यता की गंभीरता मध्यम है, जो संभावित प्रभाव को दर्शाती है।
Organizations and developers deploying vLLM for LLM inference and serving, particularly those utilizing multimodal models with the Idefics3 vision model, are at risk. Services that rely on vLLM for real-time inference or critical applications are especially vulnerable to the disruption caused by a denial-of-service attack.
• python / server: Monitor vLLM server logs for errors related to tensor dimension mismatches or runtime exceptions during image processing.
# Example: Check for specific error messages in the logs
import re
with open('vllm.log', 'r') as f:
for line in f:
if re.search(r'tensor dimension mismatch', line):
print('Potential CVE-2026-22773 exploit attempt detected!')disclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (5% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, vLLM को संस्करण 0.12.0 या बाद के संस्करण में तुरंत अपग्रेड करने की अनुशंसा की जाती है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, इनपुट छवियों के आकार और प्रारूप को मान्य करने के लिए एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग किया जा सकता है, ताकि 1x1 पिक्सेल छवियों को फ़िल्टर किया जा सके। इसके अतिरिक्त, Idefics3 विजन मॉडल के साथ मल्टीमॉडल मॉडल के उपयोग को सीमित करने या अक्षम करने पर विचार करें जब तक कि अपग्रेड संभव न हो। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता को ठीक किया गया है, सर्वर को पुनरारंभ करें और एक सामान्य छवि भेजकर इंजन की स्थिरता का परीक्षण करें।
लाइब्रेरी vLLM को संस्करण 0.12.0 या उससे ऊपर के संस्करण में अपडेट करें। यह Idefics3 मॉडलों को अस्पष्ट आयामों वाली छवियों को भेजने के कारण होने वाले सेवा से इनकार (Denial of Service) के भेद्यता को ठीक करेगा। अपडेट को Python पैकेज मैनेजर, pip का उपयोग करके किया जा सकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-22773 vLLM के संस्करण 0.6.4 से 0.9.2 तक एक भेद्यता है जो एक विशेष छवि भेजकर सर्वर को क्रैश कर सकती है।
यदि आप vLLM के संस्करण 0.6.4 से 0.9.2 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
vLLM को संस्करण 0.12.0 या बाद के संस्करण में अपग्रेड करें।
वर्तमान में कोई ज्ञात सक्रिय शोषण नहीं है, लेकिन भेद्यता का शोषण किया जा सकता है।
आधिकारिक सलाहकार के लिए vLLM परियोजना की वेबसाइट या GitHub रिपॉजिटरी देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।