|
SGLang中披露了一个严重的安全漏洞,若被成功利用,可能导致在受影响的系统上实现远程代码执行。 该漏洞编号为CVE-2026-5760,在10分制的通用漏洞评分系统(CVSS)中得分9.8,被认定为命令注入漏洞,可导致任意代码执行。 SGLang是一个高性能的开源大语言模型和多模态模型服务框架。其官方GitHub项目已被复刻超过5500次,获得26100颗星标。 据美国计算机应急响应小组协调中心(CERT/CC)称,该漏洞影响重排端点“/v1/rerank”,攻击者可通过特制的GPT生成统一格式(GGUF)模型文件,在SGLang服务环境中实现任意代码执行。 CERT/CC在今日发布的一份公告中指出:“攻击者通过创建一个恶意的GPT生成统一格式(GGUF)模型文件来利用此漏洞,该文件的参数经过精心构造,包含一个Jinja2服务器端模板注入(SSTI)有效载荷以及一个触发短语,用于激活漏洞代码路径。受害者随后下载并在SGLang中加载该模型,当请求到达‘/v1/rerank’端点时,恶意模板会被渲染,从而在服务器上执行攻击者的任意Python代码。这一系列事件使攻击者能够在SGLang服务器上实现远程代码执行(RCE)。” 发现并报告该漏洞的安全研究员斯图尔特・贝克(Stuart Beck)表示,根本问题在于使用了未进行沙盒化的jinja2.Environment(),而非ImmutableSandboxedEnvironment。这使得恶意模型能够在推理服务器上执行任意Python代码。 整个操作流程如下: 攻击者创建一个GGUF模型文件,其中恶意的tokenizer.chat_template包含Jinja2 SSTI有效载荷。 该模板包含Qwen3重排器触发短语,以激活“entrypoints/openai/serving_rerank.py”中的漏洞代码路径。 受害者从如Hugging Face等来源下载并在SGLang中加载该模型。 当请求到达“/v1/rerank”端点时,SGLang读取chat_template并使用jinja2.Environment()进行渲染。 SSTI有效载荷在服务器上执行任意Python代码。 值得注意的是,CVE-2026-5760与CVE-2024-34359(又称Llama Drama,CVSS评分9.7)属于同一类漏洞,后者是llama_cpp_python Python包中现已修复的严重漏洞,曾可导致任意代码执行。去年年底,vLLM中同样的攻击面漏洞也得到修复(CVE-2025-61620,CVSS评分6.5)。 CERT/CC表示:“为缓解此漏洞,建议使用ImmutableSandboxedEnvironment替代jinja2.Environment()来渲染聊天模板,这将防止在服务器上执行任意Python代码。在协调过程中,未获得相关回应或补丁。” |
据威胁情报公司 Defused 称,攻击者已开始利用 Oracle E-Business Suite (EBS) 财务应...
Microsoft 将最近导致超过 140 个 npm 软件包受损的 Mastra AI 供应链攻击归因于朝鲜...
Siemens 正在通知客户,其 Desigo CC 楼宇管理系统的补丁文件被多个网络安全解决方案...
九州电力株式会社披露了一起物理安全事件,影响了超过 1000 万客户的隐私数据。 在一...
对 The Gentlemen 行动的一项新分析显示,这个以经济为动机的威胁组织最初是作为附属...
根据网络安全公司 Mandiant 的一份最新报告,Silent Ransom Group 勒索团伙正在积极针...
思科周四向客户通报,其 SD-WAN 产品又发现一个已被在野利用的漏洞——这是 2026 年检...
Meta 表示,在最近一起滥用 AI 驱动的账户恢复支持工具的攻击中,约有 2 万个 Instagr...