मुफ्त स्कैन करें
CRITICALCVE-2026-3059CVSS 9.8

SGLang का मल्टीमॉडल जनरेशन मॉड्यूल ZMQ ब्रोकर के माध्यम से अनधिकृत रिमोट कोड एग्जीक्यूशन (Remote Code Execution) के लिए असुरक्षित है

प्लेटफ़ॉर्म

python

घटक

sglang

में ठीक किया गया

0.5.11

0.5.10

AI Confidence: highNVDEPSS 1.2%समीक्षित: मई 2026
NVD पर देखें
सहेजें

CVE-2026-3059 SGLang के मल्टीमॉडल जनरेशन मॉड्यूल में एक गंभीर भेद्यता है जो रिमोट कोड एग्जीक्यूशन (RCE) की अनुमति देती है। यह भेद्यता तब उत्पन्न होती है जब मॉड्यूल ZMQ ब्रोकर के माध्यम से अविश्वसनीय डेटा को pickle.loads() का उपयोग करके बिना किसी प्रमाणीकरण के डीसीरियलाइज़ करता है, जिससे हमलावर अनधिकृत कोड निष्पादित कर सकता है। यह भेद्यता SGLang संस्करण 0.5.9 और उससे पहले के संस्करणों को प्रभावित करती है। 0.5.10 संस्करण में इस समस्या का समाधान किया गया है।

Python

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

requirements.txt अपलोड करेंसमर्थित प्रारूप: requirements.txt · Pipfile.lock

प्रभाव और हमले की स्थितियाँ

CVE-2026-3059 SGLang को प्रभावित करता है, विशेष रूप से इसके मल्टीमॉडल जनरेशन मॉड्यूल को, बिना प्रमाणीकरण के रिमोट कोड एग्जीक्यूशन (RCE) की एक गंभीर भेद्यता का परिचय देता है। यह भेद्यता ZMQ ब्रोकर के माध्यम से डेटा को संभालने के तरीके में निहित है, जो अविश्वसनीय डेटा को pickle.loads() का उपयोग करके डीसीरियलाइज़ करता है। बिना प्रमाणीकरण के एक रिमोट अटैकर ZMQ ब्रोकर के माध्यम से दुर्भावनापूर्ण डेटा भेज सकता है, जिसे डीसीरियलाइज़ करने पर, कमजोर सिस्टम पर मनमाना कोड निष्पादित किया जाएगा। CVSS स्कोर 9.8 है, जो अत्यंत उच्च गंभीरता को इंगित करता है, जिसका अर्थ है कि शोषण करना आसान है और संभावित प्रभाव विनाशकारी हो सकता है, जिससे सिस्टम का पूर्ण समझौता हो सकता है। मल्टीमॉडल सामग्री उत्पन्न करने के लिए SGLang का उपयोग करने वाले उत्पादन वातावरण में यह भेद्यता विशेष रूप से चिंताजनक है, क्योंकि एक अटैकर डेटा और सिस्टम की गोपनीयता और अखंडता से समझौता कर सकता है।

शोषण संदर्भ

ZMQ ब्रोकर के माध्यम से दुर्भावनापूर्ण क्रमबद्ध पेलोड भेजकर इस भेद्यता का फायदा उठाया जाता है। पेलोड को pickle.loads() द्वारा डीसीरियलाइज़ करने के लिए डिज़ाइन किया गया है, जिससे अटैकर को SGLang सर्वर पर मनमाना कोड निष्पादित करने की अनुमति मिलती है। प्रमाणीकरण की कमी का मतलब है कि नेटवर्क एक्सेस करने वाला कोई भी अटैकर इन पेलोड को भेज सकता है। शोषण की सरलता और उच्च CVSS स्कोर के संयोजन से यह भेद्यता अटैकर के लिए एक आकर्षक लक्ष्य बन जाती है। जल्द ही सार्वजनिक शोषण की उम्मीद है, जिससे शोषण का जोखिम बढ़ जाता है। उत्पादन वातावरण में SGLang का उपयोग करने वाले सिस्टम को शोषण को रोकने के लिए तुरंत पैच किया जाना चाहिए।

कौन जोखिम में हैअनुवाद हो रहा है…

Organizations utilizing SGLang for multimodal generation, particularly those deploying it in production environments or integrating it with external systems, are at significant risk. Shared hosting environments where SGLang is installed as a dependency could also be vulnerable, as could systems with misconfigured ZMQ brokers allowing unrestricted access.

पहचान के चरणअनुवाद हो रहा है…

• python / server:

import subprocess
result = subprocess.run(['pip', 'show', 'sglang'], capture_output=True, text=True)
if 'Version' in result.stdout and float(result.stdout.split('Version:')[1].strip()) <= 0.5.9:
    print('SGLang version is vulnerable!')

• python / supply-chain: Check for SGLang dependencies in project requirements files (requirements.txt, pyproject.toml) and identify vulnerable versions. • generic web: Monitor ZMQ traffic for unusual patterns or payloads. • generic web: Review application logs for errors related to deserialization or ZMQ communication.

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट6 खतरा रिपोर्ट

EPSS

1.17% (79% शतमक)

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H9.8CRITICALAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityHighसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकsglang
विक्रेताosv
प्रभावित श्रेणीमें ठीक किया गया
0.5.10 – 0.5.100.5.11
0.5.10

कमजोरी वर्गीकरण (CWE)

CWE-502

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन
प्रकाशन के 25 दिन बाद पैच

शमन और वर्कअराउंड

CVE-2026-3059 के लिए प्राथमिक शमन उपाय SGLang को संस्करण 0.5.10 या उच्चतर में अपडेट करना है। यह संस्करण ZMQ ब्रोकर के माध्यम से आने वाले डेटा के डीसीरियलाइज़ेशन के लिए सुरक्षा उपायों को लागू करके भेद्यता को ठीक करता है। इसके अतिरिक्त, यदि ZMQ ब्रोकर बिल्कुल आवश्यक नहीं है, तो इसे अस्थायी रूप से अक्षम करने या केवल विश्वसनीय स्रोतों से एक्सेस को प्रतिबंधित करने की अनुशंसा की जाती है। डीसीरियलाइज़ेशन से पहले आने वाले डेटा को सख्ती से मान्य करना, अपडेट के बाद भी एक अच्छी सुरक्षा प्रथा है। ZMQ से संबंधित सिस्टम लॉग में संदिग्ध गतिविधि की निगरानी संभावित हमलों का पता लगाने और प्रतिक्रिया करने में भी मदद कर सकती है। अंत में, SGLang चलाने वाले सिस्टम तक पहुंच को सीमित करने के लिए नेटवर्क सुरक्षा नीतियों की समीक्षा और मजबूत करने की अनुशंसा की जाती है।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice a una versión corregida de SGLang que implemente la autenticación antes de deserializar datos no confiables con pickle.loads().  Revise el código para evitar la deserialización de datos no confiables y considere el uso de formatos de serialización más seguros.

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2026-3059 क्या है — sglang में Remote Code Execution (RCE)?

SGLang एक मल्टीमॉडल कंटेंट जनरेशन प्लेटफॉर्म है जो डेटा से टेक्स्ट, इमेज और अन्य मीडिया प्रकार बना सकता है।

क्या मैं sglang में CVE-2026-3059 से प्रभावित हूं?

यह भेद्यता बिना प्रमाणीकरण के रिमोट कोड एग्जीक्यूशन की अनुमति देती है, जिसका अर्थ है कि एक अटैकर को क्रेडेंशियल की आवश्यकता के बिना कमजोर सिस्टम को नियंत्रित कर सकता है।

sglang में CVE-2026-3059 को कैसे ठीक करें?

ZMQ ब्रोकर को अस्थायी रूप से अक्षम करना या एक्सेस को विश्वसनीय स्रोतों तक सीमित करना एक अस्थायी शमन उपाय है।

क्या CVE-2026-3059 का सक्रिय रूप से शोषण किया जा रहा है?

SGLang 0.5.10 के रिलीज नोट्स और प्रासंगिक सुरक्षा सलाह देखें।

CVE-2026-3059 के लिए sglang का आधिकारिक सुरक्षा सलाह कहां मिलेगी?

हालांकि कोई पुष्टि किए गए सार्वजनिक शोषण नहीं हैं, लेकिन जल्द ही उनकी उम्मीद है, इसलिए सिस्टम को जल्द से जल्द पैच करना महत्वपूर्ण है।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें