AI推論框架SGLang遭揭3重大漏洞,未驗證攻擊者恐遠端執行程式碼

來源: iThome | Antiproof | 2026-05-21 | https://www.ithome.com.tw/news/176018

摘要

開源AI推論框架SGLang(用於部署LLM與多模態模型)被揭露3個重大漏洞(CVSS 9.1~9.8),截至2026-05-18官方尚未提供修補程式,且維護者未回應CERT/CC。

漏洞概覽

CVECVSS類型影響版本
CVE-2026-73019.8遠端程式碼執行v0.5.5+
CVE-2026-73029.1路徑走訪(任意檔案寫入)v0.5.5+
CVE-2026-73049.8遠端程式碼執行v0.4.1.post7+

漏洞詳情

  • CVE-2026-7301:多模態排程通訊機制漏洞,攻擊者可送出惡意資料觸發RCE(需多模態模式啟用且通訊埠對外開放)
  • CVE-2026-7302:影像/影片上傳功能未處理檔名,可路徑走訪任意寫入
  • CVE-2026-7304:自訂Logit處理器中惡意序列化資料觸發RCE(預設未啟用)

現狀

  • ⚠️ 截至2026-05-18,官方尚未修補,且維護者未回應CERT/CC
  • CERT/CC已發布漏洞通報VU#777338

緩解措施

  • 避免SGLang服務暴露於不受信任網路
  • 實施網路分段、存取控制與防火牆規則
  • 限制只有受信任系統可連線

衍生頁面