CVE-2026-7302
🟠 Łataj w tym tygodniu
Wielomodalny runtime SGLangs jest podatny na atak typu path traversal, umożliwiając zapis dowolnych plików.
CVSS
9.1
EPSS
0.1%
Exploit
none
Vendor
lmsys
Opis źródłowy (NVD)
SGLangs multimodal generation runtime is vulnerable to an unauthenticated path traversal vulnerability, allowing an attacker to write arbitrary files anywhere the server process has write access, by including ../ sequences in the upload filename when sent to specific endpoints.
path-traversal
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 9.1 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.1% |
| Opublikowano (NVD) | 2026-05-18 12:16:16 UTC |
| Ostatnia modyfikacja (NVD) | 2026-05-19 13:43:48 UTC |
Referencje
- https://antiproof.ai/blog/three-rces-in-sglang/ (cret@cert.org) [Permissions Required]
- https://github.com/sgl-project/sglang/tree/main/python/sglang (cret@cert.org) [Product]