CVE-2026-26220

CRÍTIC (9,3)

CVSS3: 0,0

La versió 1.1.0 i anteriors de LightLLM contenen una vulnerabilitat d’execució remota de codi no autenticada en el mode de desagregació PD (prefill-decode). El node PD master exposa punts finals WebSocket que reben trames binàries i passen les dades directament a pickle.loads() sense autenticació ni validació. Un atacant remot que pugui arribar al PD master pot enviar una càrrega útil manipulada per aconseguir l’execució de codi arbitrari.

post:/platform/configuration/security/service-accountsdelete:/platform/configuration/security/service-accounts/{user_id}patch:/platform/configuration/security/service-accounts/{user_id}post:/platform/configuration/security/service-accounts/{user_id}/keysdelete:/platform/configuration/security/service-accounts/{user_id}/keys/{api_key_id}patch:/userpost:/userspost:/users/auth/keysdelete:/users/auth/keysdelete:/users/auth/keys/_alldelete:/users/auth/keys/{api_key_id}delete:/users/{user_id}/auth/keysdelete:/users/{user_id}/auth/keys/{api_key_id}delete:/users/{user_name}patch:/users/{user_name}

Sistemes Afectats

• LightLLM

Remediació

Actualitzeu immediatament LightLLM a una versió més recent que la 1.1.0 quan estigui disponible. Vegeu-ne les Referències.

Referències

• https://www.vulncheck.com/advisories/lightllm-pd-mode-unsafe-deserialization-rce
• https://lightllm-en.readthedocs.io/en/latest/index.html
• https://github.com/ModelTC/lightllm/blob/a27dfc88c2144ed51a6e160b6fbe20aad66c8fe0/lightllm/server/api_http.py#L331