VU#915947: SGLangは、モデルファイルからチャ... ノート

VU#915947: SGLangは、モデルファイルからチャットテンプレートをレンダリングする際にリモートコード実行の脆弱性があります

SGLangプロジェクトのrerankingエンドポイントに、リモートコード実行の脆弱性(CVE-2026-5760)が発見されました。攻撃者は、特別に細工されたtokenizer.chat_templateパラメータを持つ悪意のあるモデルを作成することで、この脆弱性を悪用できます。このパラメータには、Jinja2サーバーサイドテンプレートインジェクションのペイロードが含まれています。SGLangがこのモデルをロードし、rerankingエンドポイントにアクセスすると、悪意のあるテンプレートがレンダリングされます。これにより、サーバー上で任意のPythonコードが実行されます。この脆弱性は、適切なサンドボックス化なしにjinja2.Environment()が使用されていることに起因します。悪用が成功すると、攻撃者はSGLangサービスとしてコードを実行できるようになります。これにより、ホストの侵害、データの盗難、またはサービス拒否につながる可能性があります。エンドポイントを信頼できないネットワークに公開しているデプロイメントが最もリスクが高いです。推奨される解決策は、脆弱なjinja2.Environment()の代わりに、チャットテンプレートのレンダリングにImmutableSandboxedEnvironmentを使用することです。プロジェクトのメンテナーは、パッチの調整努力に応答しませんでした。