VMTech
+381 11 4150 20024/7 Обсудить проект
← Все Instagram-инсайты VMTECH · INSTAGRAM

Критическая уязвимость SGLang CVE-2026-5760 (CVSS 9.8): RCE через GGUF-модель

Критическая уязвимость SGLang CVE-2026-5760 (CVSS 9.8): RCE через GGUF-модель

Коллеги, хочу обратить внимание в сфере кибербезопасности: выявлена критическая уязвимость SGLang (CVE-2026-5760, CVSS 9.8) — RCE через злонамеренный GGUF-файл.

Ключевые факты:
- Затрагивает /v1/rerank: SSTI в tokenizer.chat_template (Jinja2).
- При загрузке модели и вызове rerank выполняется произвольный Python‑код.
- Обнаружил исследователь Beck; подтвердил CERT/CC.
- Рекомендация: заменить jinja2.Environment на ImmutableSandboxedEnvironment и блокировать модели из ненадёжных источников.

Почему важно: выполнение кода на сервере ставит под угрозу ML‑инфраструктуру.

Как Вы ограничиваете загрузку внешних моделей?
#кибербезопасность #MLsecurity #SGLang #Jinja2

Последние комментарии

Комментариев пока нет.