AI推論框架SGLang遭揭3重大漏洞,未驗證攻擊者恐遠端執行程式碼
來源: iThome | Antiproof | 2026-05-21 | https://www.ithome.com.tw/news/176018
摘要
開源AI推論框架SGLang(用於部署LLM與多模態模型)被揭露3個重大漏洞(CVSS 9.1~9.8),截至2026-05-18官方尚未提供修補程式,且維護者未回應CERT/CC。
漏洞概覽
| CVE | CVSS | 類型 | 影響版本 |
|---|---|---|---|
| CVE-2026-7301 | 9.8 | 遠端程式碼執行 | v0.5.5+ |
| CVE-2026-7302 | 9.1 | 路徑走訪(任意檔案寫入) | v0.5.5+ |
| CVE-2026-7304 | 9.8 | 遠端程式碼執行 | v0.4.1.post7+ |
漏洞詳情
- CVE-2026-7301:多模態排程通訊機制漏洞,攻擊者可送出惡意資料觸發RCE(需多模態模式啟用且通訊埠對外開放)
- CVE-2026-7302:影像/影片上傳功能未處理檔名,可路徑走訪任意寫入
- CVE-2026-7304:自訂Logit處理器中惡意序列化資料觸發RCE(預設未啟用)
現狀
- ⚠️ 截至2026-05-18,官方尚未修補,且維護者未回應CERT/CC
- CERT/CC已發布漏洞通報VU#777338
緩解措施
- 避免SGLang服務暴露於不受信任網路
- 實施網路分段、存取控制與防火牆規則
- 限制只有受信任系統可連線
衍生頁面
- SGLang AI推論框架三重大漏洞未驗證攻擊者恐遠端執行程式碼 — 主要概念頁面