प्लेटफ़ॉर्म
python
घटक
sglang
में ठीक किया गया
0.5.11
0.5.10
CVE-2026-3060 describes a critical Remote Code Execution (RCE) vulnerability discovered in SGLang, a Python encoder. This flaw allows unauthenticated attackers to execute arbitrary code on vulnerable systems by exploiting insecure deserialization within the disaggregation module. The vulnerability impacts SGLang versions 0.5.9 and earlier; upgrading to version 0.5.10 resolves the issue.
CVE-2026-3060 SGLang को प्रभावित करता है, विशेष रूप से एन्कोडर की समानांतर विघटन प्रणाली को। यह भेद्यता विघटन मॉड्यूल के भीतर मौजूद है, जहां प्रमाणीकरण के बिना pickle.loads() का उपयोग करके अविश्वसनीय डेटा को क्रमबद्ध किया जाता है। यह एक दूरस्थ हमलावर को क्रेडेंशियल की आवश्यकता के बिना प्रभावित सिस्टम पर मनमाना कोड निष्पादित करने की अनुमति देता है। समस्या की गंभीरता (CVSS 9.8) को देखते हुए, संभावित प्रभाव बहुत अधिक है, जिसके परिणामस्वरूप सर्वर का पूर्ण नियंत्रण, संवेदनशील डेटा की चोरी या सेवा में व्यवधान हो सकता है। प्रमाणीकरण की कमी स्थिति को बढ़ाती है, जिससे नेटवर्क एक्सेस वाले हमलावरों या इंटरनेट से आने वाले हमलों द्वारा शोषण आसान हो जाता है।
प्रमाणीकरण की कमी के कारण CVE-2026-3060 का शोषण अपेक्षाकृत आसान है। एक हमलावर SGLang विघटन मॉड्यूल को एक दुर्भावनापूर्ण क्रमबद्ध Python ऑब्जेक्ट भेज सकता है। pickle.loads() का उपयोग करके इस ऑब्जेक्ट को क्रमबद्ध करने पर, ऑब्जेक्ट में निहित कोड SGLang प्रक्रिया के संदर्भ में समान विशेषाधिकारों के साथ निष्पादित किया जाएगा। इनपुट सत्यापन की कमी का मतलब है कि किसी भी क्रमबद्ध ऑब्जेक्ट का उपयोग मनमाना कोड निष्पादित करने के लिए किया जा सकता है। शोषण को तेज और गुप्त होने की उम्मीद है, जिससे पता लगाना मुश्किल हो जाता है।
Organizations utilizing SGLang for encoding tasks, particularly those with publicly accessible endpoints or systems exposed to untrusted networks, are at significant risk. Development environments and systems handling user-supplied data are especially vulnerable. Those relying on older, unpatched versions of SGLang are most susceptible.
• python / server:
import os
import subprocess
def check_sglang_version():
try:
result = subprocess.check_output(['pip', 'show', 'sglang'], stderr=subprocess.STDOUT, text=True)
for line in result.splitlines():
if 'Version:' in line:
version = line.split('Version:')[1].strip()
if version <= '0.5.9':
return True
else:
return False
except FileNotFoundError:
return False
if check_sglang_version():
print("Vulnerable SGLang version detected!")
else:
print("SGLang version is patched or not installed.")• generic web: Check for unusual network traffic patterns associated with SGLang's disaggregation module. Monitor for unexpected processes or files being created.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.66% (71% शतमक)
CVSS वेक्टर
अनुशंसित समाधान SGLang को संस्करण 0.5.10 या उच्चतर में अपडेट करना है, जिसमें इस भेद्यता के लिए फिक्स शामिल है। इसके अतिरिक्त, SGLang सर्वर तक पहुंच को सीमित करने के लिए नेटवर्क विभाजन, शोषण प्रयासों का पता लगाने के लिए नेटवर्क गतिविधि की निगरानी और अनधिकृत ट्रैफ़िक को अवरुद्ध करने के लिए फ़ायरवॉल जैसे अतिरिक्त सुरक्षा उपाय लागू करें। यह सुनिश्चित करने के लिए विघटन मॉड्यूल के कॉन्फ़िगरेशन की सावधानीपूर्वक जांच करना महत्वपूर्ण है कि केवल विश्वसनीय स्रोतों से डेटा संसाधित किया जाए। उन वातावरणों में जहां तत्काल अपडेट संभव नहीं है, क्रमबद्ध करने से पहले डेटा को मान्य करने के लिए इनपुट फ़िल्टर लागू करने पर विचार करें। हालांकि, यह उपाय अपडेट से कम सुरक्षित है।
Actualice a una versión corregida de SGLang que implemente la validación de entrada y evite la deserialización insegura de datos no confiables con pickle.loads(). Considere utilizar métodos de serialización más seguros o implementar medidas de autenticación para proteger el módulo de disaggregación.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
क्रमबद्धता क्रमबद्ध डेटा (जैसे pickle का उपयोग करके बनाया गया डेटा) को उपयोग योग्य ऑब्जेक्ट में बदलने की प्रक्रिया है। जब अविश्वसनीय डेटा को क्रमबद्ध किया जाता है, तो यह खतरनाक होता है क्योंकि इसमें दुर्भावनापूर्ण कोड शामिल हो सकता है जो क्रमबद्ध होने पर निष्पादित होता है।
CVSS (सामान्य भेद्यता स्कोरिंग प्रणाली) भेद्यता की गंभीरता का आकलन करने के लिए एक प्रणाली है। 9.8 का स्कोर एक गंभीर भेद्यता को इंगित करता है जिसके लिए तत्काल ध्यान देने की आवश्यकता होती है।
अगर तत्काल अपडेट संभव नहीं है, तो नेटवर्क विभाजन, निगरानी और इनपुट फ़िल्टरिंग जैसे शमन उपाय लागू करें। हालांकि, ये उपाय अपडेट से कम सुरक्षित हैं।
वर्तमान में इस भेद्यता का पता लगाने के लिए कोई विशिष्ट उपकरण नहीं है। भेद्यता निर्धारित करने का सबसे अच्छा तरीका है कि आप जिस SGLang संस्करण का उपयोग कर रहे हैं, उसकी जांच करें।
KEV (कर्नेल शोषण भेद्यता) एक भेद्यता वर्गीकरण प्रणाली है। 'नहीं' इंगित करता है कि इस भेद्यता को कर्नेल भेद्यता के रूप में वर्गीकृत नहीं किया गया है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।