In SGLang wurde eine ernsthafte Sicherheitslücke gefunden, die bei Verwendung eine Remote-Ausführung von Code auf Servern ermöglicht, die diesen Rahmen ausführen. Die Referenz CVE-2026-5760 wurde zugewiesen und nach der veröffentlichten CVSS-Score ist ihre Schwere fast maximal: 9.8 über 10.0. In der Praxis kann ein Angreifer eine Modelldatei im GGUF-Format schmieden, die bei geladenem und von SGLang benutztem SGLang die Ausführung von beliebigen Befehlen im Opferteam auslöst.
Der Angriffsvektor basiert auf Jinja2-Engine-Vorlagen, die ohne die notwendigen Einschränkungen ausgeführt werden. Insbesondere erscheint das Problem, wenn SGLang den Tokenizer verarbeitet. chat _ Template-Parameter in einem schädlichen GGUF enthalten: dass Inhalt eine Payload von Server-Side Template Injection (SSTI) enthalten kann, die durch die Template-Umgebung, die von SGLang verwendet wird, ermöglicht Ihnen, Python-Code im Kontext des Dienstes auszuführen. Das CERT Coordination Center (CERT / CC) hat diesen Fluss in seiner Mitteilung detailliert beschrieben, dass der betroffene Endpunkt "/ v1 / rerank", häufig für Rollen Aufgaben in Bezug auf Pipelines verwendet.
Die Sequenz, mit der ein Angreifer seinen Code ausführen kann, ist einfach in seinen Phasen: zuerst erstellt es eine GGUF-Datei mit einer schädlichen Vorlage innerhalb des Tokenizers. chat _ Template; diese Vorlage enthält den Trigger-Satz, der den Pfad im Quellcode verwundbar macht - zum Beispiel in den Eingabepunkten / openai / Servieren _ rerank. py-Datei - es wird aktiviert; sobald ein Opfer Downloads und lädt dieses Modell in SGLang und ein Aufruf zum Endpunkt des Rerankings, die Template-Engine macht den Inhalt und die Remote-Payload ausgeführt wird, wodurch der SSTI-Code ausgeführt wird. Diese Technik nutzt eine schlechte Konfiguration der Template-Engine: jinja2.Umgebung () wird ohne die entsprechende Sandbox anstelle einer sicheren Variante verwendet.
Ermittler Stuart Beck ist derjenige, der dieses Versagen gab und es notifiziert; seine Analyse zeigt direkt auf die Verwendung einer ungeschützten Jinja2-Umgebung. Um zu verstehen, warum dies gefährlich ist, ist es notwendig, die vorherigen Vorschläge und Angriffe zu betrachten: Es ist nicht das erste Mal, dass eine Inferenzbibliothek oder ein Modell-Ladegerät für das Einfügen und Rendern von unzuverlässigen Vorlagen ausgesetzt ist. Ein bekannter Fall war der Spitzname "Lama Drama" (CVE-2024-34359), der auch willkürliche Codeausführung erlaubte und mit sehr hoher Schwerkraft qualifiziert war, und vor kurzem wurden ähnliche Oberflächen in Projekten wie VLLM (CVE-2025-61620) korrigiert. Technische Informationen zu diesen EQs sind in der US-amerikanischen nationalen Sicherheitsdatenbank verfügbar. (NVD): CVE-2024-34359 und CVE-2025-61620.
Diese Art von Versagen ist Teil der SSTI-Angriffsfamilie, die von der Sicherheitsgemeinschaft gut dokumentiert ist. Die Vorlagen, die auswertbare Ausdrücke erlauben, können Ausführungsvektoren werden, wenn nicht richtig isoliert; OWASP bietet eine klare Erklärung dieser Art von Problem in seinem Abschnitt gewidmet Server-Side Temple Injection: OWASP - SSTI. Die eigene Dokumentation von Jinja2 erklärt zum Teil den Unterschied zwischen normalen und Sandkasten-Umgebungen, die darauf abzielen, die Vorlagen zu begrenzen: Jinja2 - ImmutableSandboxedUmwelt.
Was kann Ausrüstung SGLang tun? Die erste und kraftvollste Sache ist, das Laden von Modellen aus unified Ursprungs zu vermeiden. Public Model Repositories, wie sie bei Hugging Face zur Verfügung stehen, erleichtern das Experimentieren, ermöglichen aber auch die Verbreitung von schädlichen Artefakten, wenn sie nicht validiert sind: Hugging Face. Parallel und als unmittelbare technische Maßnahme Es wird empfohlen, die Verwendung von jinja2 zu ersetzen. Umwelt () mit ImmutableSandboxedEnvironment oder eine Alternative, die effektive Einschränkungen für den Kontext der Ausführung der Vorlagen anwendet; diese Modifikation verhindert, dass Ausdrücke in der Vorlage die Ausführung des beliebigen Python-Codes auslösen.
Obwohl die Empfehlung zur Änderung der Jinja2-Umgebung die konkretste ist, ist es angebracht, diese Korrektur mit defensiven Praktiken zu ergänzen: Inferenzdienste mit minimalen Privilegien zu betreiben, sie in Containern oder dedizierten Umgebungen zu isolieren, den Zugang zum Netz und zu kritischen Ressourcen zu begrenzen und jedes heruntergeladene Modell zu prüfen, bevor es in eine Produktionsinstanz integriert wird. Bis ein offizieller Patch zur Verfügung steht, erfordert Vorsicht, jedes von Dritten empfangene Modell als potenziell gefährlich zu behandeln.
In der Mitteilung von CERT/CCC heißt es ferner, dass während des Koordinierungsprozesses keine unmittelbare offizielle Lösung durch die Betreuer erhalten wurde, so dass die Annahme lokaler Minderungen und operativer Kontrollen zu diesem Zeitpunkt besonders wichtig ist. Um über technische Entwicklungen, Patches und Analysen informiert zu werden, sollten offizielle Quellen der Projekt- und Vorfall-Reaktionszentren sowie die Überprüfung von NVD-Einträgen und CERT/CC communiqués folgen: ZERT.
In einem Ökosystem, in dem hochleistungsfähige Frameworks für multimodale Modelle und LLMs schnell übernommen werden, ist die Fähigkeit, externe Modelle zu laden, ein leistungsfähiges Merkmal, das aber auch eine kritische Angriffsfläche einführt, wenn keine Vertrauensbarrieren entwickelt werden. Die praktische Lektion ist klar: Es reicht nicht aus, sich auf das Format des Modells zu verlassen, es muss kontrolliert werden, wie seine Komponenten interpretiert und ausgeführt werden.. Kurzfristig, wenn Sie SGLang-Instanzen verwalten, das Laden von Modellen aus nicht getesteten Quellen vermeiden, statische Analyse anwenden, wenn möglich und die Jinja2-Konfiguration anpassen, um Sandboxing-Umgebungen zu verwenden. Mittelfristig muss die Community robustere Steuerungen in den Bibliotheken einbinden, die Daten in GGUF-Modellen speichern und bereitstellen, damit diese Vektoren nicht wiederverwendbar sind.
Wenn Sie die oben genannten technischen Konzepte vertiefen möchten, konsultieren Sie Jinja2s offizielle Dokumentation zu sicheren Umgebungen, OWASPs Erklärung von SSTI und NVD-Einträgen im Zusammenhang mit früheren Remote-Ausführung Schwachstellen in Inferenzbibliotheken: Die im Text genannten Links bieten einen guten Ausgangspunkt, um den Umfang und die Minderung dieser Art von Bedrohung zu verstehen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...