CRITICAL🇬🇧 English

CVE-2026-7301

RCE w SGLang przez niebezpieczną deserializację pickle na gnieździe ROUTER

CVSS 9.8v3.1pub. 2026-05-18upd. 2026-05-19

SGLang, środowisko uruchomieniowe do generowania multimodalnego, domyślnie nasłuchuje na wszystkich interfejsach sieciowych (0.0.0.0) i wykonuje deserializację danych przychodzących przez pickle.loads(), co umożliwia zdalne wykonanie kodu bez uwierzytelnienia. Podatność jest krytyczna, ponieważ wystarczy sieciowy dostęp do eksponowanego gniazda ROUTER, aby przejąć kontrolę nad systemem.

Pokaż oryginał (EN)

SGLangs multimodal generation runtime scheduler's ROUTER socket binds to 0.0.0.0 by default and contains a sink that calls pickle.loads() on incoming messages, enabling RCE when exposed to the internet.

🤖 Analiza AI
Jak działa

Harmonogram zadań (scheduler) modułu multimodalnego w SGLang wiąże gniazdo ROUTER do adresu 0.0.0.0, czyli akceptuje połączenia ze wszystkich interfejsów sieciowych. Dane przesyłane do tego gniazda są przekazywane bezpośrednio do funkcji pickle.loads(), która deserializuje obiekt Pythona bez jakiejkolwiek walidacji lub uwierzytelnienia nadawcy. Atakujący może spreparować złośliwy payload pickle i przesłać go do otwartego gniazda, wymuszając wykonanie dowolnego kodu w kontekście procesu SGLang.

Skutki

Atakujący uzyskuje możliwość zdalnego wykonania dowolnego kodu (RCE) na serwerze bez konieczności posiadania jakichkolwiek uprawnień czy interakcji ze strony użytkownika, co może prowadzić do pełnego przejęcia systemu, kradzieży danych oraz naruszenia poufności, integralności i dostępności.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu aktualizacji zaleca się ograniczenie dostępu do gniazda ROUTER za pomocą firewalla lub reguł sieciowych tak, aby port nie był dostępny z niezaufanych sieci ani z publicznego internetu. Nie należy wystawiać SGLang bezpośrednio na internet bez warstwy uwierzytelniania.

Kogo dotyczy

Produkt Lmsys SGLang — wersje wskazane w referencjach producenta; podatny jest komponent multimodalnego harmonogramu generowania (multimodal generation runtime scheduler) z domyślną konfiguracją gniazda ROUTER.

Uwagi

Podatność została opisana przez badaczy na blogu antiproof.ai w artykule dotyczącym trzech odrębnych podatności klasy RCE w SGLang.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Lmsys Sglang

    APP
    Lmsys
    0.5.10
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Deserialization
CWE
Referencje

Powiązane podatności

CVE-2026-7302CRITICAL9.1PL ✓ten sam produkt

SGLang: path traversal umożliwiający zapis dowolnych plików bez uwierzytelnienia

CVE-2026-7304CRITICAL9.8PL ✓ten sam produkt

RCE przez niebezpieczną deserializację w SGLang (dill.loads)

CVE-2026-5760CRITICAL9.8PL ✓ten sam produkt

SGLang: RCE przez niezabezpieczony silnik Jinja2 w endpoincie reranking

CVE-2026-3059CRITICAL9.8PL ✓ten sam produkt

RCE w SGLang przez deserializację pickle bez uwierzytelnienia (ZMQ broker)

CVE-2026-3060CRITICAL9.8PL ✓ten sam produkt

SGLang: nieuwierzytelnione RCE przez deserializację pickle w module disaggregation