python · vllmAtenção
vllm: Correção incompleta do CVE-2026-22778 — vazamento de endereços de memória em cinco novos pontos
A correção para CVE-2026-22778 (sanitize_message) estava incompleta; cinco novos caminhos de código no roteador da API Anthropic e no WebSocket de fala-para-tex
O que mudou
A correção para CVE-2026-22778 (sanitize_message) estava incompleta; cinco novos caminhos de código no roteador da API Anthropic e no WebSocket de fala-para-texto vazam endereços de memória de representação de objeto via str(exc) em respostas de erro.
Quem isso afeta
Todas as implantações do vLLM que usam a API Anthropic Messages (POST /v1/messages, POST /v1/messages/count_tokens) ou o endpoint WebSocket de fala-para-texto em tempo real.
O que fazer hoje
Aplique sanitize_message nos cinco locais identificados conforme descrito no aviso, ou atualize para a versão corrigida (PR #45119).
A esteira
Coletado→
Auditado→
Redigido→
Publicado