Se ha revelado una vulnerabilidad de seguridad crítica en SGLang que, si se explota con éxito, podría dar lugar a la ejecución remota de código en sistemas susceptibles.

La vulnerabilidad, rastreada como CVE-2026-5760tiene una puntuación CVSS de 9,8 sobre 10,0. Se ha descrito como un caso de inyección de comandos que conduce a la ejecución de código arbitrario.

SGLang es un software de código abierto y de alto rendimiento marco de servicio para modelos de lenguaje grandes y modelos multimodales. El proyecto oficial de GitHub se ha bifurcado más de 5.500 veces y ha sido destacado 26.100 veces.

Según el Centro de Coordinación CERT (CERT/CC), la vulnerabilidad afecta el punto final de reclasificación «/v1/rerank», lo que permite a un atacante lograr la ejecución de código arbitrario en el contexto del servicio SGLang mediante un formato unificado generado por GPT especialmente diseñado (GGUF) archivo de modelo.

«Un atacante aprovecha esta vulnerabilidad creando un archivo de modelo de formato unificado generado por GPT (GGUF) malicioso con un parámetro tokenizer.chat_template diseñado que contiene una inyección de plantilla del lado del servidor Jinja2 (SSTI) carga útil con una frase desencadenante para activar la ruta del código vulnerable», CERT/CC dicho en un aviso publicado hoy.

«Luego, la víctima descarga y carga el modelo en SGLang, y cuando una solicitud llega al punto final «/v1/rerank», se procesa la plantilla maliciosa, ejecutando el código Python arbitrario del atacante en el servidor. Esta secuencia de eventos permite al atacante lograr la ejecución remota de código (RCE) en el servidor SGLang».

Según el investigador de seguridad Stuart Beck, quien descubrió e informó la fallael problema subyacente surge del uso de jinja2.Environment() sin sandboxing en lugar de ImmutableSandboxedEnvironment. Esto, a su vez, permite que un modelo malicioso ejecute código Python arbitrario en el servidor de inferencia.

La secuencia completa de acciones es la siguiente:

• Un atacante crea un archivo modelo GGUF con un tokenizer.chat_template malicioso que contiene una carga útil Jinja2 SSTI
• La plantilla incluye la frase desencadenante del reranker Qwen3 para activar la ruta del código vulnerable en «entrypoints/openai/serving_rerank.py».
• La víctima descarga y carga el modelo en SGLang desde fuentes como Hugging Face
• Cuando una solicitud llega al punto final «/v1/rerank», SGLang lee chat_template y lo representa con jinja2.Environment()
• La carga útil SSTI ejecuta código Python arbitrario en el servidor

Vale la pena señalar que CVE-2026-5760 cae dentro de la misma clase de vulnerabilidad que CVE-2024-34359 (también conocido como Llama Drama, puntuación CVSS: 9.7), una falla crítica ahora parcheada en el paquete Python llama_cpp_python que podría haber resultado en la ejecución de código arbitrario. La misma superficie de ataque también se rectificó en vLLM a finales del año pasado (CVE-2025-61620puntuación CVSS: 6,5).

«Para mitigar esta vulnerabilidad, se recomienda utilizar ImmutableSandboxedEnvironment en lugar de jinja2.Environment() para representar las plantillas de chat», dijo CERT/CC. «Esto evitará la ejecución de código Python arbitrario en el servidor. No se obtuvo respuesta ni parche durante el proceso de coordinación».