Una vulnerabilidad grave ha sido revelada en SGLang que, si es aprovechada, permite la ejecución remota de código en servidores que corran este framework. Se le ha asignado la referencia CVE-2026-5760 y, según la puntuación CVSS publicada, su severidad es prácticamente máxima: 9.8 sobre 10.0. En términos prácticos, un atacante puede forjar un archivo de modelo en formato GGUF que, al ser cargado y usado por SGLang, desencadena la ejecución de comandos arbitrarios en el equipo víctima.
El vector de ataque se apoya en plantillas del motor Jinja2 que se renderizan sin las restricciones necesarias. Concretamente, el problema aparece cuando SGLang procesa el parámetro tokenizer.chat_template incluido dentro de un GGUF malicioso: ese contenido puede contener una payload de Server-Side Template Injection (SSTI) que, al ser ejecutada por el entorno de plantillas usado por SGLang, permite ejecutar código Python en el contexto del servicio. El CERT Coordination Center (CERT/CC) ha detallado este flujo en su aviso, indicando que el endpoint afectado es "/v1/rerank", comúnmente usado para tareas de reranking en pipelines de inferencia.
La secuencia por la que un atacante consigue ejecutar su código es sencilla en sus etapas: primero crea un archivo GGUF con una plantilla maliciosa dentro de tokenizer.chat_template; ese template incluye la frase gatillo que hace que la ruta vulnerable en el código fuente —por ejemplo en el archivo entrypoints/openai/serving_rerank.py— se active; una vez que una víctima descarga y carga ese modelo en SGLang y se realiza una llamada al endpoint de reranking, el motor de plantillas renderiza el contenido y la payload SSTI se ejecuta, provocando ejecución remota de código. Esta técnica explota una mala configuración del motor de plantillas: se utiliza jinja2.Environment() sin el sandbox apropiado en lugar de una variante segura.
El investigador Stuart Beck es quien dio con esta falla y la notificó; su análisis apunta directamente al uso de un entorno de Jinja2 sin protección. Para comprender por qué esto es peligroso conviene mirar a propuestas y ataques anteriores: no es la primera vez que una biblioteca de inferencia o un cargador de modelos queda expuesto por permitir la inserción y renderizado de plantillas no confiables. Un caso muy conocido fue el apodado "Llama Drama" (CVE-2024-34359), que también permitía ejecución arbitraria de código y fue calificado con una gravedad muy alta, y más recientemente quedaron corregidas superficies similares en proyectos como vLLM (CVE-2025-61620). Puede consultarse información técnica sobre esos CVE en la base de datos nacional de vulnerabilidades de EE. UU. (NVD): CVE-2024-34359 y CVE-2025-61620.
Este tipo de fallos se encuadra en la familia de ataques SSTI, bien documentada por la comunidad de seguridad. Las plantillas de renderizado que permiten expresiones evaluables pueden convertirse en vectores de ejecución si no se aíslan correctamente; OWASP ofrece una explicación clara sobre esta clase de problemas en su sección dedicada a Server-Side Template Injection: OWASP — SSTI. Por su parte, la propia documentación de Jinja2 explica la diferencia entre los entornos normales y los entornos "sandbox" pensados para limitar lo que las plantillas pueden hacer: Jinja2 — ImmutableSandboxedEnvironment.
¿Qué pueden hacer los equipos que utilicen SGLang? Lo primero y más contundente es evitar cargar modelos provenientes de orígenes no verificados. Los repositorios públicos de modelos, como los disponibles en Hugging Face, facilitan la experimentación pero también permiten la distribución de artefactos maliciosos si no se validan: Hugging Face. Paralelamente, y como medida técnica inmediata, se recomienda reemplazar el uso de jinja2.Environment() por ImmutableSandboxedEnvironment o una alternativa que aplique restricciones efectivas al contexto de ejecución de las plantillas; esa modificación impide que expresiones en el template disparen la ejecución de código Python arbitrario.
Aunque la recomendación de cambiar el entorno de Jinja2 es la más concreta, conviene complementar esa corrección con prácticas defensivas: correr los servicios de inferencia con privilegios mínimos, aislarlos en contenedores o entornos dedicados, limitar el acceso a la red y a recursos críticos, y auditar cualquier modelo descargado antes de integrarlo en una instancia de producción. Hasta que exista un parche oficial disponible, la prudencia exige tratar cualquier modelo recibido de terceros como potencialmente peligroso.
El aviso de CERT/CC señala además que, durante el proceso de coordinación, no se obtuvo una solución oficial inmediata por parte de los mantenedores, por lo que la adopción de mitigaciones locales y controles operativos es especialmente importante en estos momentos. Para mantenerse informado sobre evoluciones, parches y análisis técnicos, conviene seguir fuentes oficiales del proyecto y de los centros de respuesta a incidentes, así como revisar las entradas del NVD y los comunicados de CERT/CC: CERT.
En un ecosistema en el que frameworks de alto rendimiento para modelos multimodales y LLMs se adoptan con rapidez, la capacidad de cargar modelos externos es una característica poderosa que, sin embargo, también introduce una superficie de ataque crítica si no se diseñan barreras de confianza. La lección práctica es clara: no basta con confiar en el formato del modelo, hay que controlar cómo se interpretan y ejecutan sus componentes. A corto plazo, si administras instancias de SGLang evita cargar modelos de fuentes no contrastadas, aplícales análisis estático cuando sea posible y adapta la configuración de Jinja2 para que use entornos sandboxed. A medio plazo, la comunidad deberá incorporar controles más robustos en las bibliotecas que parsean y renderizan datos incluidos dentro de modelos GGUF para que estos vectores no vuelvan a ser explotables.
Si quieres profundizar en los conceptos técnicos mencionados, consulta la documentación oficial de Jinja2 sobre entornos seguros, la explicación de OWASP sobre SSTI y las entradas del NVD relacionadas con vulnerabilidades previas de ejecución remota en bibliotecas de inferencia: los enlaces citados en el texto ofrecen un buen punto de partida para entender el alcance y las mitigaciones de este tipo de amenazas.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...