CVE-2025-62426

Опубликовано: 21 нояб. 2025

Источник: nvd

CVSS3: 6.5

EPSS Низкий

Описание

vLLM is an inference and serving engine for large language models (LLMs). From version 0.5.5 to before 0.11.1, the /v1/chat/completions and /tokenize endpoints allow a chat_template_kwargs request parameter that is used in the code before it is properly validated against the chat template. With the right chat_template_kwargs parameters, it is possible to block processing of the API server for long periods of time, delaying all other requests. This issue has been patched in version 0.11.1.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:vllm:vllm:*:*:*:*:*:*:*:*

Версия от 0.5.5 (включая) до 0.11.1 (исключая)

cpe:2.3:a:vllm:vllm:0.11.1:rc0:*:*:*:*:*:*

cpe:2.3:a:vllm:vllm:0.11.1:rc1:*:*:*:*:*:*

EPSS

Процентиль: 21%

0.00067

Низкий

6.5 Medium

CVSS3

Дефекты

CWE-770

Связанные уязвимости

CVE-2025-62426

CVSS3: 6.5

debian

3 месяца назад

vLLM is an inference and serving engine for large language models (LLM ...

GHSA-69j4-grxj-j64p

CVSS3: 6.5

github

3 месяца назад

vLLM vulnerable to DoS via large Chat Completion or Tokenization requests with specially crafted `chat_template_kwargs`

BDU:2025-14680

CVSS3: 6.5

fstec

3 месяца назад

Уязвимость библиотеки для работы с большими языковыми моделями (LLM) vLLM, связанная с неограниченным распределением ресурсов, позволяющая нарушителю вызвать отказ в обслуживании

EPSS

Процентиль: 21%

0.00067

Низкий

6.5 Medium

CVSS3

Дефекты

CWE-770