PT-2026-60483 · Sglang · Sglang

CVE-2026-14890

·

Publicado

2026-07-16

·

Atualizado

2026-07-16

CVSS v3.1

9.1

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
Nome do Software Vulnerável e Versões Afetadas SGLang (versões afetadas não especificadas)
Description O subsistema de backup expert-parallel expõe um socket ZeroMQ PULL em uma interface de rede roteável. Este socket carece de salvaguardas de autenticação e desserialização, o que permite que um invasor forneça um arquivo pickle malicioso. Isso resulta na execução remota de código não autenticada quando o recurso está habilitado e o serviço está acessível pela rede. A desserialização de pickle é o processo de converter um fluxo de bytes de volta em um objeto Python, que pode ser explorado para executar código arbitrário se a entrada não for confiável.
Recommendations Desative o subsistema de backup expert-parallel se ele não for estritamente necessário. Restrinja o acesso de rede ao serviço SGLang e ao seu socket ZeroMQ PULL apenas a fontes confiáveis.

Correção

Deserialization of Untrusted Data

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-14890

Produtos afetados

Sglang