SGLang 漏洞可通过恶意 GGUF 模型文件实现远程代码执行

admin 2026-4-22 05:10 84人围观网络安全

SGLang中披露了一个严重的安全漏洞，若被成功利用，可能导致在受影响的系统上实现远程代码执行。该漏洞编号为CVE-2026-5760，在10分制的通用漏洞评分系统（CVSS）中得分9.8，被认定为命令注入漏洞，可导致任意代码执 ...

SGLang中披露了一个严重的安全漏洞，若被成功利用，可能导致在受影响的系统上实现远程代码执行。

该漏洞编号为CVE-2026-5760，在10分制的通用漏洞评分系统（CVSS）中得分9.8，被认定为命令注入漏洞，可导致任意代码执行。

SGLang是一个高性能的开源大语言模型和多模态模型服务框架。其官方GitHub项目已被复刻超过5500次，获得26100颗星标。

据美国计算机应急响应小组协调中心（CERT/CC）称，该漏洞影响重排端点“/v1/rerank”，攻击者可通过特制的GPT生成统一格式（GGUF）模型文件，在SGLang服务环境中实现任意代码执行。

CERT/CC在今日发布的一份公告中指出：“攻击者通过创建一个恶意的GPT生成统一格式（GGUF）模型文件来利用此漏洞，该文件的参数经过精心构造，包含一个Jinja2服务器端模板注入（SSTI）有效载荷以及一个触发短语，用于激活漏洞代码路径。受害者随后下载并在SGLang中加载该模型，当请求到达‘/v1/rerank’端点时，恶意模板会被渲染，从而在服务器上执行攻击者的任意Python代码。这一系列事件使攻击者能够在SGLang服务器上实现远程代码执行（RCE）。”

发现并报告该漏洞的安全研究员斯图尔特・贝克（Stuart Beck）表示，根本问题在于使用了未进行沙盒化的jinja2.Environment()，而非ImmutableSandboxedEnvironment。这使得恶意模型能够在推理服务器上执行任意Python代码。

整个操作流程如下：

攻击者创建一个GGUF模型文件，其中恶意的tokenizer.chat_template包含Jinja2 SSTI有效载荷。

该模板包含Qwen3重排器触发短语，以激活“entrypoints/openai/serving_rerank.py”中的漏洞代码路径。

受害者从如Hugging Face等来源下载并在SGLang中加载该模型。

当请求到达“/v1/rerank”端点时，SGLang读取chat_template并使用jinja2.Environment()进行渲染。

SSTI有效载荷在服务器上执行任意Python代码。

值得注意的是，CVE-2026-5760与CVE-2024-34359（又称Llama Drama，CVSS评分9.7）属于同一类漏洞，后者是llama_cpp_python Python包中现已修复的严重漏洞，曾可导致任意代码执行。去年年底，vLLM中同样的攻击面漏洞也得到修复（CVE-2025-61620，CVSS评分6.5）。

CERT/CC表示：“为缓解此漏洞，建议使用ImmutableSandboxedEnvironment替代jinja2.Environment()来渲染聊天模板，这将防止在服务器上执行任意Python代码。在协调过程中，未获得相关回应或补丁。”