VU#915947: SGLang уязвим к уда... Заметка

VU#915947: SGLang уязвим к удаленному выполнению кода при рендеринге шаблонов чата из файла модели

В проекте SGLang обнаружена уязвимость удаленного выполнения кода (CVE-2026-5760) в конечной точке переранжирования. Злоумышленники могут использовать ее, создав вредоносную модель со специально сформированным параметром tokenizer.chat_template. Этот параметр содержит полезную нагрузку для инъекции серверных шаблонов Jinja2. Когда SGLang загружает эту модель и осуществляется доступ к конечной точке переранжирования, вредоносный шаблон отображается. Это приводит к выполнению произвольного кода Python на сервере. Уязвимость возникает из-за использования jinja2.Environment() без надлежащей изоляции. Успешная эксплуатация позволяет злоумышленникам выполнять код от имени службы SGLang. Это может привести к компрометации хоста, краже данных или отказу в обслуживании. Наибольшему риску подвергаются развертывания, предоставляющие доступ к конечной точке из недоверенных сетей. Рекомендуемое решение включает использование ImmutableSandboxedEnvironment для отображения шаблонов чата вместо уязвимого jinja2.Environment(). Разработчики проекта не отреагировали на попытки координации для выпуска исправления.