文章总结： SGLang框架的重新排序端点存在严重远程代码执行漏洞CVE-2026-5760，CVSS评分9.8。攻击者可通过恶意GGUF模型文件的tokenizer.chattemplate字段注入Jinja2模板，利用getjinja_env函数未沙箱化的问题执行任意Python代码，导致主机入侵、数据泄露等风险。目前无官方补丁，建议手动替换为ImmutableSandboxedEnvironment进行修复。 综合评分： 88 文章分类： 漏洞分析,AI安全,解决方案,安全建设,威胁情报

SGLang AI 基础设施的严重 9.8 级远程代码执行威胁

sec随谈 sec随谈

sec随谈

2026年4月22日 08:49 北京

在小说阅读器读本章

去阅读

SGLang 是一个流行的开源框架，用于运行 DeepSeek 和 Mistral 等高级模型，但该框架中发现了一个严重的远程代码执行 (RCE)漏洞。该漏洞的官方编号为CVE-2026-5760，CVSS 评分为 9.8，表明其对人工智能基础设施构成“严重”风险。

该漏洞具体存在于 SGLang 的重新排序端点 (/v1/rerank) 中，该端点旨在根据文档与搜索查询的相关性对其进行排序。

攻击链始于攻击者创建“恶意 GPT 生成的统一格式 (GGUF) 模型文件”。攻击者通过精心构造一个名为 tokenizer.chat_template 的特定元数据字段（该字段定义了文本在处理前的结构），可以嵌入 Jinja2 服务器端模板注入 (SSTI) 有效载荷。

根据漏洞说明，“受害者随后下载并加载 SGLang 模型，当请求到达 /v1/rerank 端点时，恶意模板将被渲染，从而在服务器上执行攻击者的任意 Python 代码”。

从技术层面来看，问题可以追溯到一个名为 get_jinja_env() 的函数。该函数负责设置渲染聊天模板的环境。

安全漏洞的出现是因为该框架在未采取任何沙箱措施的情况下使用了 jinja2.Environment()。由于它“未能限制任意 Python 代码的执行”，任何加载到服务中的恶意模型都可以有效地完全控制底层主机。

成功利用此远程代码执行 (RCE) 原语可能造成的后果非常严重。攻击者可以利用此 RCE 原语进行以下操作：

• 主机入侵：获得对运行 AI 服务的服务器的完全访问权限。
• 横向移动：利用被攻陷的服务器作为滩头阵地，攻击网络中的其他系统。
• 数据泄露：窃取敏感权重、训练数据或用户查询。
• 拒绝服务攻击（DoS）：关闭关键人工智能基础设施。

令社区感到不安的是，该公告指出“在协调过程中没有收到项目维护者的回应”，这意味着正式补丁尚未通过官方渠道发布。

在官方更新发布之前，安全研究人员建议自行托管 SGLang 的用户手动修复此问题。核心建议是“使用 ImmutableSandboxedEnvironment 而不是 jinja2.Environment() 来渲染聊天模板”。此更改会创建一个受限的执行环境，防止渲染引擎运行任意 Python 命令。

参考链接：

https://kb.cert.org/vuls/id/915947

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈 sec随谈《SGLang AI 基础设施的严重 9.8 级远程代码执行威胁》