CVE-2026-7301
KrytyczneStreszczenie
Domyślnie gniazdo ROUTER w harmonogramie generacji multimodalnej SGLangs wiąże się z adresem 0.0.0.0 i zawiera sink, który wywołuje pickle.loads() na przychodzących wiadomościach, co umożliwia zdalne wykonanie kodu (RCE) w przypadku wystawienia na internet.
Ocena ryzyka
Wystawienie gniazda na internet stwarza poważne ryzyko zdalnego wykonania kodu, co może prowadzić do przejęcia kontroli nad systemem przez nieautoryzowane osoby.
Rekomendacja
Zaleca się ograniczenie wiązania gniazda do lokalnego adresu IP oraz unikanie używania pickle.loads() na niezweryfikowanych danych.
Oryginalny opis (angielski, źródło NVD)
SGLangs multimodal generation runtime scheduler's ROUTER socket binds to 0.0.0.0 by default and contains a sink that calls pickle.loads() on incoming messages, enabling RCE when exposed to the internet.

