CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-3059

Critical
Published: Translated: NVD NIST

Summary

Moduł generacji multimodalnej SGLang jest podatny na zdalne wykonanie kodu bez uwierzytelnienia poprzez brokera ZMQ, który deserializuje nieufne dane za pomocą pickle.loads() bez autoryzacji.

Risk Assessment

Wykorzystanie tej podatności może prowadzić do zdalnego wykonania dowolnego kodu na serwerze, co stwarza poważne zagrożenie dla bezpieczeństwa systemu i danych organizacji.

Recommendation

Zaleca się wprowadzenie mechanizmów uwierzytelniania dla brokera ZMQ oraz unikanie deserializacji nieufnych danych, aby zminimalizować ryzyko związane z tą podatnością.

Original NVD description (English source)

SGLang's multimodal generation module is vulnerable to unauthenticated remote code execution through the ZMQ broker, which deserializes untrusted data using pickle.loads() without authentication.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS