Se ha revelado una vulnerabilidad de seguridad crítica en SGLang que, si se explota con éxito, podría dar sitio a la ejecución remota de código en sistemas susceptibles.
La vulnerabilidad, rastreada como CVE-2026-5760tiene una puntuación CVSS de 9,8 sobre 10,0. Se ha descrito como un caso de inyección de comandos que conduce a la ejecución de código improcedente.
SGLang es un entorno de servicio de código descubierto y detención rendimiento para modelos de lengua grandes y modelos multimodales. El tesina oficial de GitHub se ha bífido más de 5.500 veces y ha sido destacado 26.100 veces.
Según el Centro de Coordinación CERT (CERT/CC), la vulnerabilidad afecta el punto final de reclasificación “/v1/rerank”, lo que permite a un atacante conquistar la ejecución de código improcedente en el contexto del servicio SGLang mediante un archivo maniquí de formato unificado generado por GPT (GGUF) especialmente diseñado.
“Un atacante explota esta vulnerabilidad creando un archivo de maniquí de formato unificado generado por GPT (GGUF) zorro con un parámetro tokenizer.chat_template diseñado que contiene una carga útil de inyección de plantilla del costado del servidor (SSTI) Jinja2 con una frase de activación para activar la ruta del código inerme”, dijo CERT/CC en un aviso publicado hoy.
“Luego, la víctima descarga y carga el maniquí en SGLang, y cuando una solicitud llega al punto final “/v1/rerank”, se procesa la plantilla maliciosa, ejecutando el código Python improcedente del atacante en el servidor. Esta secuencia de eventos permite al atacante conquistar la ejecución remota de código (RCE) en el servidor SGLang”.
Según el investigador de seguridad Stuart Beck, quien descubrió e informó la descompostura, el problema subyacente surge del uso de jinja2.Environment() sin sandboxing en sitio de ImmutableSandboxedEnvironment. Esto, a su vez, permite que un maniquí zorro ejecute código Python improcedente en el servidor de inferencia.
La secuencia completa de acciones es la posterior:
- Un atacante crea un archivo maniquí GGUF con un tokenizer.chat_template zorro que contiene una carga útil Jinja2 SSTI
- La plantilla incluye la frase desencadenante del reranker Qwen3 para activar la ruta del código inerme en “entrypoints/openai/serving_rerank.py”.
- La víctima descarga y carga el maniquí en SGLang desde fuentes como Hugging Face
- Cuando una solicitud llega al punto final “/v1/rerank”, SGLang lee chat_template y lo representa con jinja2.Environment()
- La carga útil SSTI ejecuta código Python improcedente en el servidor
Vale la pena señalar que CVE-2026-5760 cae en el interior de la misma clase de vulnerabilidad que CVE-2024-34359 (además conocido como Fogata Drama, puntuación CVSS: 9.7), una descompostura crítica ahora parcheada en el paquete Python llama_cpp_python que podría poseer resultado en la ejecución de código improcedente. La misma superficie de ataque además se rectificó en vLLM a finales del año pasado (CVE-2025-61620, puntuación CVSS: 6,5).
“Para mitigar esta vulnerabilidad, se recomienda utilizar ImmutableSandboxedEnvironment en sitio de jinja2.Environment() para representar las plantillas de chat”, dijo CERT/CC. “Esto evitará la ejecución de código Python improcedente en el servidor. No se obtuvo respuesta ni parche durante el proceso de coordinación”.
