CVE-2026-54235
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 23 — wyżej niż 23% wszystkich znanych CVE
Streszczenie
vLLM to silnik wnioskowania i serwowania dla dużych modeli językowych. W wersjach przed 0.23.1rc0, walidacja temperatury używała operatorów porównania, które nieprawidłowo obsługiwały wartości NaN i dodatnią nieskończoność, co prowadziło do nieokreślonego zachowania lub błędów CUDA.
Ocena ryzyka
Organizacje mogą doświadczyć awarii pracowników wnioskowania z powodu nieprawidłowego przetwarzania danych, co może prowadzić do przerw w usługach i utraty danych.
Rekomendacja
Zaleca się aktualizację do wersji 0.23.1rc0 lub nowszej, aby usunąć tę podatność i zapewnić prawidłowe działanie silnika wnioskowania.
Oryginalny opis (angielski, źródło NVD)
vLLM is an inference and serving engine for large language models (LLMs). Prior to 0.23.1rc0, ll temperature validation gates use comparison operators (<, >), which silently evaluate to False for NaN and for positive Infinity in Python's IEEE 754 float semantics. Both values pass every guard and propagate to GPU sampling kernels, where they produce undefined behavior or CUDA errors that can crash the inference worker. This vulnerability is fixed in 0.23.1rc0.

