Informazioni sul CVE-2024-11040
Denial of Service in vllm-project/vllm
CWE ID: CWE-400
Base Score (CVSS): N/A
CVE: CVE-2024-11040
Descrizione: vllm-project vllm version 0.5.2.2 è vulnerabile ad attacchi di denial of service. Il problema si verifica negli endpoint `POST /v1/completions` e `POST /v1/embeddings`. Per `POST /v1/completions`, abilitare `use_beam_search` e impostare `best_of` a un valore elevato causa il timeout della connessione HTTP, con vllm che smette di funzionare e la richiesta rimane in uno stato ‘pending’, bloccando nuove richieste di completamento. Per `POST /v1/embeddings`, fornire input non validi a un oggetto JSON causa un problema nel loop di background, risultando che tutte le successive richieste di completamento restituiscano un codice di errore HTTP 500 (‘Internal Server Error’) fino a quando vllm non viene riavviato.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
Prodotti interessati
- vllm-project – vllm-project/vllm
Relazioni con altri prodotti
Produttore:vllm-project
Prodotto: vllm-project/vllm
Anno: 2024
CWE: CWE-400
CVSS: 0.0