CVE-2026-7304
KrytyczneStreszczenie
SGLangs multimodal generation runtime jest podatny na zdalne wykonanie kodu bez uwierzytelnienia, gdy opcja --enable-custom-logit-processor jest włączona. Obiekty Pythona ładowane za pomocą dill.loads() są deserializowane bez walidacji.
Ocena ryzyka
Wykorzystanie tej podatności może prowadzić do zdalnego wykonania złośliwego kodu, co stwarza poważne zagrożenie dla bezpieczeństwa systemu i danych organizacji.
Rekomendacja
Zaleca się wyłączenie opcji --enable-custom-logit-processor oraz przeprowadzenie audytu kodu w celu zidentyfikowania i usunięcia potencjalnych zagrożeń.
Oryginalny opis (angielski, źródło NVD)
SGLangs multimodal generation runtime is vulnerable to unauthenticated remote code execution when the --enable-custom-logit-processor option is enabled, as Python objects loaded via dill.loads() will be deserialized without validation.

