VU#665416: SGLang (sglang) уязвим для атак на выполнение кода через небезопасную десериализацию pickle
SGLang, фреймворк для обслуживания моделей LLM и многомодальных моделей, имеет критические уязвимости десериализации pickle. Две уязвимости, CVE-2026-3059 и CVE-2026-3060, находятся в модулях многомодальной генерации и параллельной дезагрегации кодировщика соответственно. Эти недостатки позволяют атакующим выполнять произвольный код, отправляя вредоносные файлы pickle в брокер ZMQ. CVE-2026-3989 затрагивает скрипт replay_request_dump.py, что позволяет выполнить код при обработке вредоносных файлов pickle. Коренная причина всех уязвимостей заключается в использовании pickle.loads() для десериализации не проверенных данных без надлежащей проверки. Эта небезопасная десериализация может привести к удаленному выполнению кода из-за возможностей выполнения pickle. Атакующие могут получить контроль над сервисом SGLang, что потенциально может привести к компрометации системы. Пользователям следует ограничить доступ к сетям интерфейсов SGLang, чтобы смягчить эти риски. Рекомендуется использовать альтернативы pickle, такие как JSON или msgpack, чтобы предотвратить подобные уязвимости. Этот документ служит для подчеркивания рисков, связанных с неправильным использованием pickle. Был предложен патч, но не было получено никакой реакции от разработчиков во время публикации.