{"id":608,"date":"2026-04-20T19:30:46","date_gmt":"2026-04-20T19:30:46","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/20\/sglang-cve-2026-5760-cvss-9-8-habilita-rce-a-traves-de-archivos-de-modelo-gguf-maliciosos-cyberdefensa-mx\/"},"modified":"2026-04-20T19:30:46","modified_gmt":"2026-04-20T19:30:46","slug":"sglang-cve-2026-5760-cvss-9-8-habilita-rce-a-traves-de-archivos-de-modelo-gguf-maliciosos-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/20\/sglang-cve-2026-5760-cvss-9-8-habilita-rce-a-traves-de-archivos-de-modelo-gguf-maliciosos-cyberdefensa-mx\/","title":{"rendered":"SGLang CVE-2026-5760 (CVSS 9.8) habilita RCE a trav\u00e9s de archivos de modelo GGUF maliciosos \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Se ha revelado una vulnerabilidad de seguridad cr\u00edtica en SGLang <\/b>que, si se explota con \u00e9xito, podr\u00eda dar lugar a la ejecuci\u00f3n remota de c\u00f3digo en sistemas susceptibles.<\/p>\n

La vulnerabilidad, rastreada como CVE-2026-5760<\/a><\/strong>tiene una puntuaci\u00f3n CVSS de 9,8 sobre 10,0. Se ha descrito como un caso de inyecci\u00f3n de comandos que conduce a la ejecuci\u00f3n de c\u00f3digo arbitrario.<\/p>\n

SGLang<\/a> es un software de c\u00f3digo abierto y de alto rendimiento marco de servicio<\/a> para modelos de lenguaje grandes y modelos multimodales. El proyecto oficial de GitHub se ha bifurcado m\u00e1s de 5.500 veces y ha sido destacado 26.100 veces. <\/p>\n

Seg\u00fan el Centro de Coordinaci\u00f3n CERT (CERT\/CC), la vulnerabilidad afecta el punto final de reclasificaci\u00f3n \u00ab\/v1\/rerank\u00bb, lo que permite a un atacante lograr la ejecuci\u00f3n de c\u00f3digo arbitrario en el contexto del servicio SGLang mediante un formato unificado generado por GPT especialmente dise\u00f1ado (GGUF<\/a>) archivo de modelo.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

\u00abUn atacante aprovecha esta vulnerabilidad creando un archivo de modelo de formato unificado generado por GPT (GGUF) malicioso con un par\u00e1metro tokenizer.chat_template dise\u00f1ado que contiene una inyecci\u00f3n de plantilla del lado del servidor Jinja2 (SSTI<\/a>) carga \u00fatil con una frase desencadenante para activar la ruta del c\u00f3digo vulnerable\u00bb, CERT\/CC dicho<\/a> en un aviso publicado hoy.<\/p>\n

\u00abLuego, la v\u00edctima descarga y carga el modelo en SGLang, y cuando una solicitud llega al punto final \u00ab\/v1\/rerank\u00bb, se procesa la plantilla maliciosa, ejecutando el c\u00f3digo Python arbitrario del atacante en el servidor. Esta secuencia de eventos permite al atacante lograr la ejecuci\u00f3n remota de c\u00f3digo (RCE) en el servidor SGLang\u00bb.<\/p>\n

Seg\u00fan el investigador de seguridad Stuart Beck, quien descubri\u00f3 e inform\u00f3 la falla<\/a>el problema subyacente surge del uso de jinja2.Environment() sin sandboxing en lugar de ImmutableSandboxedEnvironment. Esto, a su vez, permite que un modelo malicioso ejecute c\u00f3digo Python arbitrario en el servidor de inferencia.<\/p>\n

La secuencia completa de acciones es la siguiente:<\/p>\n