Con un solo archivo se obtiene acceso total al servidor: así es la grave vulnerabilidad en el popular framework SGLang
Un simple error en el código pone en riesgo a miles de usuarios.
En el framework para trabajar con modelos de lenguaje SGLang se ha detectado una vulnerabilidad crítica, que permite a un atacante obtener el control total del servidor: basta con que la víctima cargue un archivo de modelo especialmente preparado.
La vulnerabilidad recibió el identificador CVE-2026-5760 y una puntuación de 9,8 sobre 10 en la escala CVSS. SGLang es un framework de alto rendimiento de código abierto diseñado para servir modelos de lenguaje y multimodales de gran tamaño. El proyecto es muy popular: el repositorio en GitHub cuenta con más de 5500 bifurcaciones y ha acumulado más de 26.100 estrellas.
El ataque consiste en lo siguiente: un atacante crea un archivo malicioso en formato GGUF, incrustando en el parámetro tokenizer.chat_template una carga especial de Jinja2 para inyectar plantillas en el servidor. Cuando un usuario carga ese archivo y conecta el modelo a SGLang, y luego llama al endpoint «/v1/rerank», la plantilla incrustada se renderiza y en el servidor se ejecuta código Python arbitrario. El desencadenante para activar la sección vulnerable del código es una frase especial característica del modelo Qwen3 Reranker.
El investigador que descubrió y reportó la vulnerabilidad, Stuart Beck, explica que la raíz del problema está en el uso de jinja2.Environment() sin aislamiento, cuando en su lugar debería emplearse ImmutableSandboxedEnvironment. Es precisamente la ausencia de una "sandbox" lo que abre la posibilidad de ejecutar código malicioso.
CVE-2026-5760 pertenece a la misma clase de vulnerabilidades que la anterior CVE-2024-34359, conocida como Llama Drama y con una puntuación de 9,7. En ese caso se detectó una brecha crítica en el paquete llama_cpp_python. Un problema similar también fue corregido el año pasado en la plataforma vLLM — CVE-2025-61620, con una puntuación de 6,5.
Según CERT/CC, para mitigar la amenaza es necesario reemplazar jinja2.Environment() por ImmutableSandboxedEnvironment al renderizar las plantillas. Esto privaría al atacante de la capacidad de ejecutar código arbitrario. El centro señala además que, durante la coordinación, no se obtuvo ninguna respuesta de los desarrolladores de SGLang ni se recibió una corrección.