SGLang का मल्टीमॉडल जनरेशन मॉड्यूल ZMQ ब्रोकर के माध्यम से अनधिकृत रिमोट कोड एग्जीक्यूशन (Remote Code Execution) के लिए असुरक्षित है

CVE-2026-3059 SGLang को प्रभावित करता है, विशेष रूप से इसके मल्टीमॉडल जनरेशन मॉड्यूल को, बिना प्रमाणीकरण के रिमोट कोड एग्जीक्यूशन (RCE) की एक गंभीर भेद्यता का परिचय देता है। यह भेद्यता ZMQ ब्रोकर के माध्यम से डेटा को संभालने के तरीके में निहित है, जो अविश्वसनीय डेटा को pickle.loads() का उपयोग करके डीसीरियलाइज़ करता है। बिना प्रमाणीकरण के एक रिमोट अटैकर ZMQ ब्रोकर के माध्यम से दुर्भावनापूर्ण डेटा भेज सकता है, जिसे डीसीरियलाइज़ करने पर, कमजोर सिस्टम पर मनमाना कोड निष्पादित किया जाएगा। CVSS स्कोर 9.8 है, जो अत्यंत उच्च गंभीरता को इंगित करता है, जिसका अर्थ है कि शोषण करना आसान है और संभावित प्रभाव विनाशकारी हो सकता है, जिससे सिस्टम का पूर्ण समझौता हो सकता है। मल्टीमॉडल सामग्री उत्पन्न करने के लिए SGLang का उपयोग करने वाले उत्पादन वातावरण में यह भेद्यता विशेष रूप से चिंताजनक है, क्योंकि एक अटैकर डेटा और सिस्टम की गोपनीयता और अखंडता से समझौता कर सकता है।

Organizations utilizing SGLang for multimodal generation, particularly those deploying it in production environments or integrating it with external systems, are at significant risk. Shared hosting environments where SGLang is installed as a dependency could also be vulnerable, as could systems with misconfigured ZMQ brokers allowing unrestricted access.

• python / server:

import subprocess
result = subprocess.run(['pip', 'show', 'sglang'], capture_output=True, text=True)
if 'Version' in result.stdout and float(result.stdout.split('Version:')[1].strip()) <= 0.5.9:
    print('SGLang version is vulnerable!')

• python / supply-chain: Check for SGLang dependencies in project requirements files (requirements.txt, pyproject.toml) and identify vulnerable versions. • generic web: Monitor ZMQ traffic for unusual patterns or payloads. • generic web: Review application logs for errors related to deserialization or ZMQ communication.

1. 2026-03-12Disclosure

   disclosure

1. आरक्षित2026-02-23
2. प्रकाशित2026-03-12
3. संशोधित2026-04-07
4. EPSS अद्यतन2026-03-23

CVE-2026-3059 के लिए प्राथमिक शमन उपाय SGLang को संस्करण 0.5.10 या उच्चतर में अपडेट करना है। यह संस्करण ZMQ ब्रोकर के माध्यम से आने वाले डेटा के डीसीरियलाइज़ेशन के लिए सुरक्षा उपायों को लागू करके भेद्यता को ठीक करता है। इसके अतिरिक्त, यदि ZMQ ब्रोकर बिल्कुल आवश्यक नहीं है, तो इसे अस्थायी रूप से अक्षम करने या केवल विश्वसनीय स्रोतों से एक्सेस को प्रतिबंधित करने की अनुशंसा की जाती है। डीसीरियलाइज़ेशन से पहले आने वाले डेटा को सख्ती से मान्य करना, अपडेट के बाद भी एक अच्छी सुरक्षा प्रथा है। ZMQ से संबंधित सिस्टम लॉग में संदिग्ध गतिविधि की निगरानी संभावित हमलों का पता लगाने और प्रतिक्रिया करने में भी मदद कर सकती है। अंत में, SGLang चलाने वाले सिस्टम तक पहुंच को सीमित करने के लिए नेटवर्क सुरक्षा नीतियों की समीक्षा और मजबूत करने की अनुशंसा की जाती है।