SchwachstellenHackerangriffeKI-Sicherheit

Kritische Sicherheitslücke in SGLang ermöglicht Remote Code Execution

Kritische Sicherheitslücke in SGLang ermöglicht Remote Code Execution
Zusammenfassung

In SGLang, einem weit verbreiteten Open-Source-Framework für Large Language Models mit über 26.000 Stars auf GitHub, wurde eine kritische Sicherheitslücke entdeckt. Die als CVE-2026-5760 klassifizierte Schwachstelle weist einen CVSS-Score von 9.8 auf und ermöglicht Angreifern die ferngesteuerte Ausführung beliebigen Codes (Remote Code Execution) auf anfälligen Systemen. Der Angriff erfolgt durch speziell präparierte GGUF-Modelldateien mit manipulierten Jinja2-Template-Injektion (SSTI)-Payloads. Sobald ein Nutzer das bösartige Modell in SGLang lädt und eine Anfrage den „/v1/rerank"-Endpoint erreicht, wird der schadhafte Code ausgeführt. Die Schwachstelle entsteht durch die unsichere Verwendung von jinja2.Environment() ohne Sandboxing-Umgebung. Sicherheitsforscher Stuart Beck identifizierte das Problem, das auch bei ähnlichen Projekten wie llama_cpp_python bekannt ist. Deutsche Nutzer, Entwickler und Unternehmen, die SGLang zur Bereitstellung von KI-Modellen einsetzen, sollten vorsichtig sein – besonders bei der Nutzung von Modellen aus nicht verifizierten Quellen. Behörden und kritische Infrastrukturen könnten erheblich gefährdet sein, falls sie SGLang produktiv nutzen.

Das SGLang-Framework, ein hochperformantes System zur Verwaltung von Sprachmodellen und multimodalen KI-Systemen, weist eine schwerwiegende Sicherheitslücke auf, die es Angreifern ermöglicht, Remote Code Execution (RCE) zu erreichen. Dies teilte die CERT Coordination Center (CERT/CC) mit.

Die Schwachstelle CVE-2026-5760 betrifft speziell den Reranking-Endpunkt “/v1/rerank” des Frameworks. Sicherheitsforscher Stuart Beck, der die Lücke entdeckte und meldete, identifizierte die Wurzel des Problems: SGLang nutzt jinja2.Environment() ohne Sandboxing, anstatt die sicherere ImmutableSandboxedEnvironment zu verwenden. Dies eröffnet Angreifern die Möglichkeit, Server-seitige Template-Injection-Angriffe (SSTI) durchzuführen.

Der Angriffsmechanismus im Detail

Um die Schwachstelle auszunutzen, erstellen Angreifer eine manipulierte GGUF-Modelldatei (GPT-Generated Unified Format). Diese enthält in der Komponente “tokenizer.chat_template” einen Jinja2-Payload mit SSTI-Befehlen. Wenn ein Opfer diese Datei herunterlädt und in SGLang lädt, wird die bösartige Vorlage beim Zugriff auf den “/v1/rerank”-Endpunkt gerendert. Dies führt zur Ausführung beliebigen Python-Codes auf dem Server – mit allen damit verbundenen Sicherheitsrisiken.

Das besonders Tückische: Nutzer könnten unwissentlich kompromittierte Modelldateien aus öffentlichen Repositories oder von Drittanbietern laden, ohne die Gefahr zu erkennen. Dies macht die Lücke zu einem potenziellen Einfallstor für Supply-Chain-Angriffe.

Vergleich mit ähnlichen Schwachstellen

CVE-2026-5760 folgt einem ähnlichen Muster wie frühere kritische Lücken in der KI-Infrastruktur. So war CVE-2024-34359 (“Llama Drama”, CVSS 9,7) eine vergleichbar schwerwiegende Sicherheitslücke in der llama_cpp_python-Bibliothek, die inzwischen gepatcht wurde. Auch das vLLM-Framework war mit CVE-2025-61620 (CVSS 6,5) betroffen.

Empfohlene Maßnahmen

CERT/CC rät dringend dazu, jinja2.Environment() durch ImmutableSandboxedEnvironment zu ersetzen. Dies würde die Ausführung beliebigen Python-Codes auf dem Server verhindern. Bemerkenswert ist, dass während des Koordinationsprozesses keine Rückmeldung oder ein Patch von den SGLang-Entwicklern erhalten wurde – eine Situation, die die Dringlichkeit der Problembehebung unterstreicht.

Unternehmen sollten ihre SGLang-Installationen überprüfen und vertrauenswürdige Quellen für Modelldateien sicherstellen.

Ähnliche Artikel