SGLang LLM-kiszolgáló sérülékenységek
Az Orca Security kutatása több kritikus sérülékenységet azonosított az SGLang LLM-kiszolgáló keretrendszerben, amelyek lehetővé teszik hitelesítés nélküli távoli kódfuttatást az AI-infrastruktúrán. A hibák a Python pickledeszerializációjának nem biztonságos használatából erednek, a rendszer hálózaton érkező adatokat ellenőrzés nélkül tölti be a pickle.loads() függvénnyel, ami lehetővé teszi, hogy egy támadó rosszindulatú payloadot küldjön, amely közvetlenül parancsokat hajt végre a szerveren.
A legsúlyosabb sérülékenységek (CVE-2026-3059 és CVE-2026-3060, CVSS 9.8) az SGLang multimodális modellkiszolgáló és diszaggregációs modulját érintik. Ha ezek a funkciók aktívak és a kapcsolódó port elérhető a hálózatról, egy támadó egyszerű TCP-kapcsolaton keresztül rosszindulatú pickle-payloadot küldhet, amely azonnal tetszőleges kód futtatását eredményezi az SGLang folyamat jogosultságaival.
Egy további sérülékenység (CVE-2026-3989) a crash-dump visszajátszására szolgáló segédscriptben található. Ebben az esetben egy manipulált .pkl fájl betöltése vezet kódfuttatáshoz, ha egy operátor manuálisan feldolgozza azt.
A probléma kritikus, mert az SGLang olyan AI-infrastruktúrákban használatos, amelyek LLM-modellek kiszolgálását és API-integrációkat kezelnek, így egy sikeres exploit teljes hozzáférést adhat a modellkiszolgáló szerverhez, valamint az ott tárolt API-kulcsokhoz és integrációs adatokhoz. A publikálás idején hivatalos javítás még nem volt elérhető, ezért a kutatók elsősorban a szolgáltatás hálózati elérésének korlátozását és a sérülékeny modulok letiltását javasolják.
