https://brdefense.center/tags/sglang/Recent content in Sglang on BR Defense CenterHugopt-brMon, 20 Apr 2026 19:30:52 -0300https://brdefense.center/news/vulnerabilidade-critica-em-sglang-pode-permitir-ex/Mon, 20 Apr 2026 19:30:52 -0300https://brdefense.center/news/vulnerabilidade-critica-em-sglang-pode-permitir-ex/<p>Uma vulnerabilidade crítica foi identificada no SGLang, um framework open-source para modelos de linguagem, que pode permitir a execução remota de código (RCE) em sistemas vulneráveis. A falha, registrada como CVE-2026-5760, possui um alto índice de severidade, com uma pontuação CVSS de 9.8. O problema reside no endpoint de reranking &lsquo;/v1/rerank&rsquo;, onde um atacante pode explorar a vulnerabilidade ao criar um arquivo de modelo GGUF malicioso. Esse arquivo contém um parâmetro &rsquo;tokenizer.chat_template&rsquo; que inclui um payload de injeção de template do lado do servidor (SSTI) utilizando Jinja2. Quando o modelo é carregado pelo usuário no SGLang, o código malicioso é executado no servidor, permitindo ao atacante controlar o sistema. A recomendação para mitigar essa vulnerabilidade é substituir o uso de jinja2.Environment() por ImmutableSandboxedEnvironment, evitando assim a execução de código Python arbitrário. Essa vulnerabilidade é semelhante a outras falhas críticas já corrigidas em pacotes populares, destacando a necessidade urgente de atenção e ação por parte dos administradores de sistemas que utilizam SGLang.</p>