PT-2026-60483 · Sglang · Sglang
CVE-2026-14890
·
Publicado
2026-07-16
·
Atualizado
2026-07-16
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
SGLang (versões afetadas não especificadas)
Description
O subsistema de backup expert-parallel expõe um socket ZeroMQ PULL em uma interface de rede roteável. Este socket carece de salvaguardas de autenticação e desserialização, o que permite que um invasor forneça um arquivo pickle malicioso. Isso resulta na execução remota de código não autenticada quando o recurso está habilitado e o serviço está acessível pela rede. A desserialização de pickle é o processo de converter um fluxo de bytes de volta em um objeto Python, que pode ser explorado para executar código arbitrário se a entrada não for confiável.
Recommendations
Desative o subsistema de backup expert-parallel se ele não for estritamente necessário.
Restrinja o acesso de rede ao serviço SGLang e ao seu socket ZeroMQ PULL apenas a fontes confiáveis.
Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Sglang