🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma vulnerabilidade crítica de segurança foi divulgada no SGLang que, se explorada com sucesso, pode resultar na execução remota de código em sistemas suscetíveis.
A vulnerabilidade, rastreada como CVE-2026-5760, carrega uma pontuação CVSS de 9,8 em 10,0. Foi descrito como um caso de injeção de comando levando à execução de código arbitrário.
SGLang é uma estrutura de serviço de código aberto e de alto desempenho para grandes modelos de linguagem e modelos multimodais. O projeto oficial do GitHub foi bifurcado mais de 5.500 vezes e estrelado 26.100 vezes.
De acordo com o Centro de Coordenação CERT (CERT/CC), a vulnerabilidade afeta o endpoint de reclassificação "/v1/rerank", permitindo que um invasor obtenha a execução arbitrária de código no contexto do serviço SGLang por meio de um arquivo de modelo de formato unificado gerado por GPT (GGUF) especialmente criado.
“Um invasor explora essa vulnerabilidade criando um arquivo de modelo malicioso de formato unificado gerado por GPT (GGUF) com um parâmetro tokenizer.chat_template criado que contém uma carga útil de injeção de modelo no lado do servidor (SSTI) Jinja2 com uma frase de gatilho para ativar o caminho do código vulnerável”, disse CERT/CC em um comunicado divulgado hoje.
"A vítima então baixa e carrega o modelo no SGLang, e quando uma solicitação atinge o endpoint"/v1/rerank", o modelo malicioso é renderizado, executando o código Python arbitrário do invasor no servidor. Essa sequência de eventos permite que o invasor obtenha execução remota de código (RCE) no servidor SGLang."
De acordo com o pesquisador de segurança Stuart Beck, que descobriu e relatou a falha, o problema subjacente decorre do uso de jinja2.Environment() sem sandbox em vez de ImmutableSandboxedEnvironment. Isso, por sua vez, permite que um modelo malicioso execute código Python arbitrário no servidor de inferência.
Toda a sequência de ações é a seguinte -
Um invasor cria um arquivo de modelo GGUF com um tokenizer.chat_template malicioso contendo uma carga útil Jinja2 SSTI
O modelo inclui a frase de gatilho do reclassificador Qwen3 para ativar o caminho do código vulnerável em "entrypoints/openai/serving_rerank.py"
A vítima baixa e carrega o modelo no SGLang de fontes como Hugging Face
Quando uma solicitação atinge o endpoint "/v1/rerank", SGLang lê o chat_template e o renderiza com jinja2.Environment()
A carga SSTI executa código Python arbitrário no servidor
É importante notar que CVE-2026-5760 se enquadra na mesma classe de vulnerabilidade que CVE-2024-34359 (também conhecido como Llama Drama, pontuação CVSS: 9,7), uma falha crítica agora corrigida no pacote Python llama_cpp_python que poderia ter resultado na execução arbitrária de código. A mesma superfície de ataque também foi retificada no vLLM no final do ano passado (CVE-2025-61620, pontuação CVSS: 6,5).
“Para mitigar esta vulnerabilidade, é recomendado usar ImmutableSandboxedEnvironment em vez de jinja2.Environment() para renderizar os modelos de chat”, disse CERT/CC. "Isso impedirá a execução de código Python arbitrário no servidor. Nenhuma resposta ou patch foi obtido durante o processo de coordenação."
A vulnerabilidade, rastreada como CVE-2026-5760, carrega uma pontuação CVSS de 9,8 em 10,0. Foi descrito como um caso de injeção de comando levando à execução de código arbitrário.
SGLang é uma estrutura de serviço de código aberto e de alto desempenho para grandes modelos de linguagem e modelos multimodais. O projeto oficial do GitHub foi bifurcado mais de 5.500 vezes e estrelado 26.100 vezes.
De acordo com o Centro de Coordenação CERT (CERT/CC), a vulnerabilidade afeta o endpoint de reclassificação "/v1/rerank", permitindo que um invasor obtenha a execução arbitrária de código no contexto do serviço SGLang por meio de um arquivo de modelo de formato unificado gerado por GPT (GGUF) especialmente criado.
“Um invasor explora essa vulnerabilidade criando um arquivo de modelo malicioso de formato unificado gerado por GPT (GGUF) com um parâmetro tokenizer.chat_template criado que contém uma carga útil de injeção de modelo no lado do servidor (SSTI) Jinja2 com uma frase de gatilho para ativar o caminho do código vulnerável”, disse CERT/CC em um comunicado divulgado hoje.
"A vítima então baixa e carrega o modelo no SGLang, e quando uma solicitação atinge o endpoint"/v1/rerank", o modelo malicioso é renderizado, executando o código Python arbitrário do invasor no servidor. Essa sequência de eventos permite que o invasor obtenha execução remota de código (RCE) no servidor SGLang."
De acordo com o pesquisador de segurança Stuart Beck, que descobriu e relatou a falha, o problema subjacente decorre do uso de jinja2.Environment() sem sandbox em vez de ImmutableSandboxedEnvironment. Isso, por sua vez, permite que um modelo malicioso execute código Python arbitrário no servidor de inferência.
Toda a sequência de ações é a seguinte -
Um invasor cria um arquivo de modelo GGUF com um tokenizer.chat_template malicioso contendo uma carga útil Jinja2 SSTI
O modelo inclui a frase de gatilho do reclassificador Qwen3 para ativar o caminho do código vulnerável em "entrypoints/openai/serving_rerank.py"
A vítima baixa e carrega o modelo no SGLang de fontes como Hugging Face
Quando uma solicitação atinge o endpoint "/v1/rerank", SGLang lê o chat_template e o renderiza com jinja2.Environment()
A carga SSTI executa código Python arbitrário no servidor
É importante notar que CVE-2026-5760 se enquadra na mesma classe de vulnerabilidade que CVE-2024-34359 (também conhecido como Llama Drama, pontuação CVSS: 9,7), uma falha crítica agora corrigida no pacote Python llama_cpp_python que poderia ter resultado na execução arbitrária de código. A mesma superfície de ataque também foi retificada no vLLM no final do ano passado (CVE-2025-61620, pontuação CVSS: 6,5).
“Para mitigar esta vulnerabilidade, é recomendado usar ImmutableSandboxedEnvironment em vez de jinja2.Environment() para renderizar os modelos de chat”, disse CERT/CC. "Isso impedirá a execução de código Python arbitrário no servidor. Nenhuma resposta ou patch foi obtido durante o processo de coordenação."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #sglang #cve20265760 #(cvss #9.8) #permite #rce #por #meio #de #arquivos #de #modelo #gguf #maliciosos
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário