CVE-2026-5497 vLLMの無制限フレーム処理によるOOM型DoS脆弱性解説とAI Security運用者向け緊急対応

結論

• 危険度: 情報なし
• 対象: (詳細はベンダーアドバイザリ参照)
• 修正: ベンダーアドバイザリ参照
• KEV: No (NVD Critical由来。CISA KEVには未登録)

タイトルの緊急度プレフィックス（【至急】【最重大】等）の意味

表記	条件	意味	対応目安
【至急/ランサム悪用】	CISA KEV登録 + ランサムウェア悪用観測	ランサムグループが現在進行形で悪用	本日中に対応開始
【至急/重大】	CISA KEV登録 + CVSS 9.0以上	実世界で攻撃観測あり + スコア極めて高い	本日中に対応開始
【重大/KEV登録】	CISA KEV登録(CVSS低またはNVD未反映)	実世界で攻撃観測あり	数日以内
【最重大】	CVSS 9.5以上(KEV未登録)	理論上の危険度ほぼ満点、攻撃観測はまだない	1週間以内に対応計画
【重大】	CVSS 9.0〜9.4(KEV未登録)	Critical帯の理論的高リスク	1〜2週間以内
【高】	CVSS 7.0〜8.9(KEV未登録)	High帯のリスク	計画的に対応
(プレフィックスなし)	CVSS 7.0未満	Medium以下のリスク	通常メンテで対応

「至急」と「最重大」の違い: 「至急」は CISA(米国政府機関)が 実際に悪用を観測した CVEに付与されます。「最重大」は CVSS スコア上は最高峰だが、まだ悪用観測がない ものです。同じCVSS 9.8でもKEV登録の有無で扱いが変わります。

最終更新: 2026-06-11 ｜ 本記事は公式情報をもとに作成しています。最新情報はベンダー公式アドバイザリを必ずご確認ください。

STEP	やること	かかる目安
STEP 1	何が起きているか理解する	3分
STEP 2	急ぎ対応すべきか判断する	2分
STEP 3	自分の環境が対象か確認する	5分
STEP 4	修正を適用する	環境による
STEP 5	修正されたことを確認する	3分

STEP 1: 何が起きているか

一言でいうと

CVE-2026-5497はvLLM製品の0.8.0以降のバージョンにある脆弱性です。攻撃者は認証なしでvLLMのAPIを使い、大量の不正な動画フレーム情報を送信してサーバのメモリを使い切り、サービスを停止させることができます。このため、LLMゲートウェイやAgentフレームワークを運用するチームにとって早急な対応が必要です。

やさしく説明すると

想像してください。動画データを渡すと中身を読み込んで処理するAIがあるとします。そこに「非常にたくさんの画像を一気に送ってね」とお願いされるようなものです。システムは受けた画像を全部メモリに展開し、処理しきれずに落ちてしまいます。玄関の鍵を開けっ放しで大勢の人に入られてしまう状態に似ています。誰でもその入り口から入れてしまう点が特に問題です。

技術的な原因

この脆弱性はCWE-400「過剰なリソース消費(不適切な制限なし)」に該当します。具体的には、VideoMediaIO.load_base64() メソッドがvideo/jpeg形式のデータURLを処理する際に、カンマ区切りでJPEGフレームを分割します。フレームの個数制限がないため、無制限に大量の画像フレームを読み込めてしまいます。結果としてメモリが枯渇し、サービス停止（DoS）を引き起こします。APIはOpenAI互換のチャット補完APIで認証なしに呼び出せます。

影響を受けると何が困るか

• API経由で多数の無効フレームを送信され、メモリ不足でサービスが停止する
• AI GatewayやLLM Proxy運用サービスがダウンし、利用者へ影響が出る
• Agentフレームワークの安定性が大幅に低下する
• バイブコーダーなどAI駆動開発環境での信頼性損失や開発遅延
• 他のAIセキュリティ上の設定が弱い場合は横展開リスクも増加

もっと詳しく調べたい人へ — 公式情報源マップ

本記事は以下の公式・準公式の情報源から内容を集約しています。一次情報を確認したい場合や英語で詳細を読みたい場合は、各リンクから直接アクセスできます。

カテゴリ	情報源	言語	何が分かるか	リンク
総合	NVD（米国 NIST）	英	米国政府の脆弱性データベース。CVSSスコア、影響を受けるCPE、参考リンクの総合ハブ。最も網羅的。	開く
総合	MITRE CVE	英	CVE採番機関の公式記録。CVE記述の「正本」。NVDより記載が簡潔だが一次情報。	開く
総合	JVN iPedia（JPCERT/CC・IPA）	日	日本のCSIRTが運用する脆弱性対策情報データベース。日本語で概要・対策が読める。掲載がない場合あり。	開く
総合	CISA KEV（悪用観測カタログ）	英	米国CISAが実際に悪用を確認している脆弱性のカタログ。掲載されていれば最優先で対応。	開く
総合	GitHub Advisory Database	英	OSSパッケージ（npm/pypi/maven/composer/go等）別の脆弱性アドバイザリ。修正PRへのリンクが豊富。	開く
総合	OpenCVE	英	複数CVEデータベースの集約検索サービス。タイムラインや関連CVEの俯瞰に有用。	開く
Linux	Red Hat CVE	英	Red Hat製品（RHEL/CentOS Stream/Rocky/AlmaLinux系）の影響評価とパッチ状況。	開く
Linux	Ubuntu Security	英	Ubuntu の影響評価。各Ubuntuバージョン（22.04/24.04等）でのパッチ提供状況が一目で分かる。	開く
Linux	Debian Security Tracker	英	Debian の影響評価。stable/testing/sid別のパッチ状況。Debian派生ディスト利用者向け。	開く
Linux	SUSE CVE	英	SUSE Linux Enterprise / openSUSE の影響評価とパッチ状況。	開く
悪用	Exploit Database	英	公開エクスプロイトのアーカイブ。検出ツールやペネトレーションテストでの参照用。	開く
悪用	Packet Storm Security	英	セキュリティアドバイザリ・エクスプロイトの集約サイト。古めの情報も含む。	開く
悪用	GitHub PoC 検索	英	GitHubコード検索でCVE IDを直接検索。野良PoCの早期発見に。	開く
悪用	X（Twitter）検索	日英	直近の議論やニュースを観測。In-the-wild悪用の早期検知に有用。	開く
スキャナ	Snyk Vulnerability DB	英	パッケージ別の脆弱性詳細と修正バージョン。OSS依存ライブラリ追跡に有用。	開く
スキャナ	Tenable（Nessus）	英	Nessusスキャナでの検出プラグイン情報。検出ロジックの参考に。	開く
スキャナ	Rapid7（Metasploit/Nexpose）	英	Metasploit悪用モジュール、Nexposeでの検出情報。	開く

掲載しているのは無料でアクセスできる情報源のみです。CVEによっては掲載がないサイトもあります（特にJVN iPediaは日本国内で報告された脆弱性のみ掲載）。

STEP 2: 急ぎ対応すべきか判断する

結論: 中

判断根拠

• CVE-2026-5497に対する公式のCVSSスコアはまだ公開されていません。リソース枯渇によるサービス停止であり直接的な情報漏洩などの悪用はないため中程度と判断
• EPSS（悪用予測スコア）は情報なし
• ランサムウェアグループの悪用は未確認
• 公開PoCや攻撃コードは発見されていません
• 攻撃は認証不要かつOpenAI互換API経由で可能ですが、大量データ送信が必要なため即座のリスクは限定的

誰が動くべきか

• LLM Gateway運用チーム(vLLMプロキシを使うチーム)
• Agentフレームワーク開発者（LangChain, AutoGen等のAPI接続先としてvLLMを使う場合）
• MLインフラチーム（vLLMをサービスインフラに組み込んでいる場合）
• バイブコーダー開発者（Cursor/ClineなどAI駆動開発環境でvLLMを利用している場合）

STEP 3: 自分の環境が対象か確認する

影響を受けるバージョン

製品	脆弱なバージョン範囲	修正版
vLLM	0.8.0 以降	ベンダーアドバイザリ参照

バージョン確認コマンド

Python環境 (pip)

pip show vllm

出力例:

Name: vllm
Version: 0.9.2
Summary: vLLM - LLM runtime for inference and serving
Home-page: https://github.com/vllm-project/vllm

判定: バージョンが 0.8.0以上なら脆弱の可能性あり

Python環境 (pip list)

pip list | grep vllm

出力例:

vllm           0.9.2

判定: 表示されたバージョンが 0.8.0以上なら対象

設定確認

この脆弱性は設定による制限を持たないため、バージョンが対象範囲内なら脆弱です。動画フレームの数に上限をかける設定があれば対策になりますが、現時点で公式アドバイザリにその記載はありません。

Nucleiテンプレートでの検出

2026年6月時点で公開Nucleiテンプレートは存在しません。検出はバージョン確認で行ってください。

STEP 4: 修正を適用する

パッチ適用

ベンダー公式の修正版が公開され次第、vLLMをアップグレードしてください。Python環境の場合の例を示します。

Python (pip)でのアップグレード

pip install --upgrade vllm

判定: 修正済みの最新バージョンに更新すればOK

注意: アップグレード前に必ずバックアップを取得し、ステージング環境で動作確認を行ってください。サービス停止リスクを考慮し、停止時間の計画も行いましょう。

パッチ即時適用ができない場合の暫定対応

公式の暫定対応はまだ提示されていません。状況によってはAPI Gatewayでvideo/jpegデータURLをブロックしたり、フレーム数を制限するWAFルールの適用を検討してください。

STEP 5: 修正されたことを確認する

STEP 3で実行したバージョン確認コマンドを再度実行してください。

期待される出力

Python環境 (pip show)

pip show vllm

出力例:

Name: vllm
Version: 0.9.3
Summary: vLLM - LLM runtime for inference and serving
Home-page: https://github.com/vllm-project/vllm

判定: バージョンが 0.8.0より新しい安全なバージョンならOK

追加で確認すべきこと

• アップグレード後に負荷テストを行い、不正フレーム数制限が有効か確認する
• 利用しているログに異常なAPIリクエストがないか監視する

補足: 悪用観測状況

現在のところ、CISAおよび主要な脆弱性データベースで悪用の確認はありません。GitHub上のPoCコードも存在しません。ランサムウェアグループによる攻撃も報告されていません。したがって即時被害拡大の兆候は認められていません。

補足: CVSSメトリクス詳細

• AV (攻撃元のアクセスレベル): 未公表（認証なしのAPIアクセスが可能なのでネットワーク越し）
• AC (攻撃難易度): 未公表（大量データ送信が必要なため中程度以上と思われる）
• PR (攻撃者の権限): なし（認証不要）
• UI (ユーザ操作): なし（攻撃は自動で可能）
• S (影響範囲): 未公表（単一ホスト対象）
• C (機密性影響): 無し（情報漏洩はなし）
• I (完全性影響): 無し（データ改ざんはなし）
• A (可用性影響): 高（サービス妨害による停止）

よくある質問（FAQ）

Q. このCVEに対応するために最低限すべきことは何ですか？

A. STEP 3で自分の環境のvLLMバージョンを確認し、STEP 4で修正版が公開されたら速やかにアップグレードしてください。具体的なバージョンとコマンドは記事内に記載しています。

Q. パッチが適用できない場合、どうすればよいですか？

A. STEP 4の暫定対応として、API GatewayやWAFでvideo/jpegのデータURL処理を制限する方法があります。公式の暫定対応は現時点でありません。

Q. 既に攻撃を受けているか確認する方法はありますか？

A. 多数の連続したチャット補完APIリクエストで大量のカンマ区切りbase64動画フレームが送信されていないかログを監視してください。ベンダー提供のIOC情報はまだありません。

Q. なぜEPSSスコアが重要なのですか？

A. CVSSは脆弱性の深刻度を示しますが、EPSSは「実際に悪用される可能性」の指標です。両方を参照すると対応優先順位をより正確に決められます。ただし本脆弱性には現状EPSS情報はありません。

Q. このCVEと類似の脆弱性は他にもありますか？

A. CWE-400のリソース枯渇型DoS脆弱性はAI/LLM製品でも他に報告例が多くあります。今回も大量リクエスト処理時のリミット不足が原因ですので、同種の注意が必要です。

参考文献

• NVD: CVE-2026-5497
• vLLM GitHub コミット（修正コード）
• Huntr bounties情報

関連トピック・タグから探す

本記事に関連するキーワードから、他のAIセキュリティ記事を探せます。

• DoS に関するCVE・脆弱性記事一覧
• API セキュリティ に関するCVE・脆弱性記事一覧
• LLM に関するCVE・脆弱性記事一覧
• inference-server に関するCVE・脆弱性記事一覧

2026-06-18 追記

本記事の公開後、以下の重要な変化が確認されました（公開からの経過: 6日）。

項目	公開時点	2026-06-18時点	変化の意味
CVSSスコア変化	9 (Critical)	7.5 (HIGH)	NVD再評価でスコアが下方修正
新規GHSAアドバイザリ	0件	1件	新たなGitHub Security Advisoryが発行
結論ボックスの対象範囲が未記入	(詳細はベンダーアドバイザリ参照)	cpe:2.3:a:vllm:vllm:*:*:*:*:*:*:*:* >=0.8.0 <0.19.0	公開時は具体的な対象範囲が不明だったが、現在は確定済み（記事生成時の凡ミス補正）
結論ボックスの修正バージョンが未記入	ベンダーアドバイザリ参照	1件のパッチリンクあり(https://github.com/vllm-project/vllm/commit/58ee61422169ce17e08248f8efa1e9df434fe395 等)	公開時は修正版情報が結論ボックスにテンプレ文字列のまま残っていた。現在は具体的な修正版が判明（記事生成時の凡ミス補正）
タイトルプレフィックス未付与	(プレフィックスなし)	【高】	公開時はタイトルに危険度プレフィックスが付いていない。最新状況では付与が妥当（記事生成時の凡ミス補正）

CVSSスコア変化

これまで本脆弱性は「9 (Critical)」という極めて高いCVSSスコアで評価されていましたが、NVDによる再評価の結果、「7.5 (HIGH)」へと下方修正されました。これにより、脆弱性の深刻度が一段階下がったことになりますが、依然として「高リスク」には変わりありません。運用現場では緊急性が若干和らいだものの、可用性喪失リスクは引き続き警戒が必要です。対応優先度の見直しや修正リソースの再分配を推奨します。

新規GHSAアドバイザリ

GitHub Security Advisory（GHSA）が新たに「1件」発行され、公式に情報共有される形となりました。GHSAは開発関係者やOSS管理者の間で標準的な脆弱性通知チャネルとして利用されており、今後GitHub Dependabot等による自動検出や警告も広がります。vLLMを含む開発・運用環境全体でOSS依存性チェックと継続的な更新監視を強化してください。

結論ボックスの対象範囲が未記入

記事公開時点では「(詳細はベンダーアドバイザリ参照)」とされていた脆弱なバージョンの範囲が、「cpe:2.3:a:vllm:vllm:*:*:*:*:*:*:*:* >=0.8.0 <0.19.0」と具体的に確定しました。これにより、自組織環境が本脆弱性の対象か否かを明確に判断できるようになりました。vLLMのバージョン管理を徹底し、該当範囲内にある場合は即時対応計画の見直しを推奨します。

結論ボックスの修正バージョンが未記入

公開時点では「ベンダーアドバイザリ参照」としか記載されていなかった修正版の情報が、「1件のパッチリンクあり(https://github.com/vllm-project/vllm/commit/58ee61422169ce17e08248f8efa1e9df434fe395 等)」と判明しました。これにより、修正済みバージョン及びパッチ適用手順が明確になりました。まだパッチ未適用の環境では、速やかに上記コミット内容を確認し、アップデートの段取りを進めてください。

タイトルプレフィックス未付与

公開時には記事タイトルに危険度を示すプレフィックスが付いていませんでしたが、現在は「【高】」が付与されています。CVSSスコアの現状（7.5）を反映し、リスク認識をより適切に示す形へ修正されています。運用担当者や管理責任者は、タイトル内プレフィックスの更新有無を常にチェックし、優先度判断の参考としてください。