Platform
python
Component
sglang
Opgelost in
0.5.11
0.5.10
CVE-2026-3060 beschrijft een Remote Code Execution (RCE) kwetsbaarheid in de SGLang encoder, specifiek in het disaggregatiemodule. Deze kwetsbaarheid maakt ongeautoriseerde code-uitvoering mogelijk via het deserialiseren van onbetrouwbare data met pickle.loads() zonder enige vorm van authenticatie. De kwetsbaarheid treft versies van SGLang tot en met 0.5.9. Een fix is beschikbaar in versie 0.5.10.
Een succesvolle exploitatie van CVE-2026-3060 kan een aanvaller volledige controle geven over het getroffen systeem. Aangezien de deserialisatie plaatsvindt zonder authenticatie, kan een kwaadwillende actor eenvoudig een kwaadaardig geconstrueerd pickle-object naar de SGLang encoder sturen. Dit object kan vervolgens worden uitgevoerd, waardoor de aanvaller willekeurige code kan uitvoeren met de privileges van de SGLang-proces. De blast radius is potentieel groot, aangezien een succesvolle exploitatie kan leiden tot data-exfiltratie, systeemcompromittering en verdere aanval op het netwerk. Dit patroon van deserialisatie kwetsbaarheden is vergelijkbaar met eerdere RCE-exploits waarbij pickle werd misbruikt.
CVE-2026-3060 is gepubliceerd op 2026-03-12. Er is momenteel geen informatie beschikbaar over actieve exploitatiecampagnes. Er zijn geen publieke Proof-of-Concept (POC) exploits bekend. De CVSS-score is 9.8 (CRITICAL), wat duidt op een hoge mate van ernst. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend op moment van schrijven).
Organizations utilizing SGLang for encoding tasks, particularly those with publicly accessible endpoints or systems exposed to untrusted networks, are at significant risk. Development environments and systems handling user-supplied data are especially vulnerable. Those relying on older, unpatched versions of SGLang are most susceptible.
• python / server:
import os
import subprocess
def check_sglang_version():
try:
result = subprocess.check_output(['pip', 'show', 'sglang'], stderr=subprocess.STDOUT, text=True)
for line in result.splitlines():
if 'Version:' in line:
version = line.split('Version:')[1].strip()
if version <= '0.5.9':
return True
else:
return False
except FileNotFoundError:
return False
if check_sglang_version():
print("Vulnerable SGLang version detected!")
else:
print("SGLang version is patched or not installed.")• generic web: Check for unusual network traffic patterns associated with SGLang's disaggregation module. Monitor for unexpected processes or files being created.
disclosure
Exploit Status
EPSS
0.66% (71% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2026-3060 is het upgraden naar SGLang versie 0.5.10 of hoger, waar de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van inputvalidatie op de data die naar de disaggregatiemodule wordt gestuurd. Dit kan het deserialiseren van kwaadaardige pickle-objecten voorkomen. Het is ook aan te raden om de SGLang encoder te isoleren in een sandbox-omgeving om de impact van een succesvolle exploitatie te beperken. Na de upgrade, bevestig de fix door een test te doen met een bekende payload die de kwetsbaarheid zou kunnen triggeren.
Werk bij naar een gecorrigeerde versie van SGLang die invoervalidatie implementeert en onveilige deserialisatie van niet-vertrouwde data met pickle.loads() voorkomt. Overweeg veiligere serialisatiemethoden te gebruiken of authenticatiemaatregelen te implementeren om de disaggregatie module te beschermen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-3060 is a critical Remote Code Execution (RCE) vulnerability in SGLang versions up to 0.5.9, allowing attackers to execute arbitrary code through insecure deserialization.
You are affected if you are using SGLang version 0.5.9 or earlier. Check your installed version and upgrade immediately.
Upgrade SGLang to version 0.5.10 or later to resolve the vulnerability. If immediate upgrade is not possible, consider temporary workarounds like restricting access to the disaggregation module.
While no active exploitation has been confirmed, the vulnerability's ease of exploitation makes it likely that it will be targeted, especially with the public disclosure.
Refer to the SGLang project's official website or GitHub repository for the latest security advisories and updates related to CVE-2026-3060.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.