独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は5月26日、SGLangにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。
SGLang
大規模言語モデル(LLM)やマルチモーダルモデルによる推論サーバを構築するためのフレームワーク SGLangには、下記の複数の脆弱性が存在し、認証されていない攻撃者によって、任意のコードの実行や任意のファイルの書き込みが行われる可能性がある。
・細工されたJinja2テンプレートがGGUFモデルファイルのtokenizer.chat_templateに含まれている場合、/v1/rerankエンドポイントへのアクセス時に、当該テンプレートがサンドボックスを使用せずにレンダリングされるため、任意のコードが実行される可能性がある(CVE-2026-5760)
・マルチモーダル生成ランタイムのスケジューラがバインドするZeroMQのROUTERソケットにおいて、受信メッセージが検証されずにpickle.loads()でデシリアライズされるため、任意のコードが実行される可能性がある(CVE-2026-7301)
・マルチモーダル生成ランタイムの/v1/images/editsと/v1/videosエンドポイントにおいて、アップロードされたファイルの名前が無害化されていないため、パストラバーサルにより任意のファイルが書き込まれる可能性がある(CVE-2026-7302)
・--enable-custom-logit-processorオプションが有効な場合、生成エンドポイントのcustom_logit_processorフィールドに渡されるJSON文字列において、callableプロパティが検証されずにdill.loads()でデシリアライズされるため、任意のコードが実行される可能性がある(CVE-2026-7304)
JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。なお、CVE-2026-5760については、v0.5.11で修正されている。
また、CVE-2026-7301、CVE-2026-7302、CVE-2026-7304については、下記のワークアラウンドを実施することで、脆弱性の影響を軽減することが可能。
・サービスのインターフェースへのアクセスを制限し、信頼できないネットワークに公開しない
・ネットワークの分離とアクセス制御を行い、脆弱なエンドポイントを保護する
