SGLang CVE-2026-5760: RCE Berbahaya Melalui File Model GGUF Jahat

SGLang CVE-2026-5760 adalah kerentanan keamanan kritis yang baru-baru ini diungkapkan dan berpotensi memungkinkan pelaku jahat melakukan remote code execution (RCE) pada sistem yang rentan. Dengan skor CVSS tinggi yakni 9,8 dari 10, celah ini menjadi ancaman serius bagi keamanan server yang menggunakan framework open source ini.

Apa itu SGLang dan Kerentanan CVE-2026-5760?

SGLang adalah framework open source berperforma tinggi yang digunakan untuk melayani model bahasa besar (large language models) dan model multimodal. Populer di komunitas pengembang, proyek ini telah di-fork lebih dari 5.500 kali dan mendapat lebih dari 26.100 bintang di GitHub.

Namun, menurut CERT Coordination Center (CERT/CC), terdapat kerentanan pada endpoint /v1/rerank yang dapat dieksploitasi untuk mengeksekusi kode berbahaya secara jarak jauh dengan memanfaatkan file model GPT Generated Unified Format (GGUF) yang dimodifikasi.

Bagaimana Kerentanan Ini Dieksploitasi?

Eksploitasi dimulai dengan pelaku membuat file model GGUF jahat yang menyisipkan parameter tokenizer.chat_template berisi payload Jinja2 server-side template injection (SSTI). Payload ini memuat frase pemicu yang mengaktifkan jalur kode rentan pada SGLang.

1. Penyerang menciptakan file model GGUF dengan template chat yang mengandung kode SSTI berbahaya.
2. Template tersebut menyisipkan frasa pemicu reranker Qwen3 untuk mengaktifkan titik rentan di entrypoints/openai/serving_rerank.py.
3. Korban mengunduh dan memuat model ini ke dalam SGLang, misalnya dari platform seperti Hugging Face.
4. Ketika ada permintaan ke endpoint /v1/rerank, SGLang membaca dan me-render template chat tersebut menggunakan jinja2.Environment().
5. Payload SSTI berjalan dan mengeksekusi kode Python berbahaya di server, memberikan akses RCE kepada penyerang.

Penyebab Teknis dan Dampak Serangan

Menurut peneliti keamanan Stuart Beck yang menemukan dan melaporkan kerentanan ini, masalah utama terletak pada penggunaan jinja2.Environment() tanpa mekanisme sandboxing yang memadai. Penggunaan ini memungkinkan template berbahaya mengeksekusi kode Python secara langsung di server inference.

Akibatnya, server yang menjalankan SGLang menjadi sangat rentan terhadap eksekusi kode arbitrer, yang dapat menyebabkan pencurian data, pengambilalihan server, atau penyebaran malware lebih lanjut.

Hubungan dengan Kerentanan Serupa dan Mitigasi

CVE-2026-5760 mengingatkan pada kerentanan sejenis seperti CVE-2024-34359 atau dikenal dengan nama Llama Drama yang memiliki skor CVSS 9,7. Kerentanan itu ditemukan di paket Python llama_cpp_python dan sudah diperbaiki. Selain itu, celah serupa juga sudah ditangani di proyek vLLM (CVE-2025-61620) dengan skor CVSS 6,5.

"Untuk mengurangi risiko kerentanan ini, disarankan menggunakan ImmutableSandboxedEnvironment alih-alih jinja2.Environment() dalam proses rendering template chat," ujar CERT/CC dalam advisori resminya.

Sampai saat ini, belum ada respons atau patch resmi yang dirilis selama proses koordinasi penanganan kerentanan ini.

Langkah-Langkah Perlindungan yang Disarankan

• Segera evaluasi penggunaan SGLang dan hentikan pemakaian model GGUF dari sumber tidak terpercaya.
• Implementasikan patch atau konfigurasi untuk mengganti jinja2.Environment() dengan ImmutableSandboxedEnvironment.
• Perketat kontrol unduhan model dari repositori publik seperti Hugging Face.
• Monitor aktivitas server untuk mendeteksi indikasi eksekusi kode asing.
• Update rutin framework dan dependensi keamanan terkait.

Analisis Redaksi

Menurut pandangan redaksi, kerentanan ini menegaskan sekali lagi bahwa keamanan dalam pengembangan model bahasa besar dan framework terkait tidak bisa diabaikan. Remote code execution melalui file model yang tampak sah menimbulkan risiko serius karena model biasanya diunduh dan dijalankan tanpa pemeriksaan ketat, membuka celah eksploitasi tersembunyi.

Selain itu, kegagalan menerapkan sandboxing saat rendering template server-side adalah oversight yang berbahaya dan harus menjadi perhatian utama bagi pengembang framework AI dan machine learning. Di era di mana model AI semakin terintegrasi dalam aplikasi produksi, ancaman seperti ini bisa berpotensi membobol sistem korporasi besar dan infrastruktur digital penting.

Ke depan, pengguna dan pengelola SGLang serta framework serupa harus meningkatkan kewaspadaan dan mendorong komunitas open source untuk segera mengeluarkan perbaikan. Memperketat keamanan model AI bukan hanya soal mencegah gangguan, tetapi juga soal menjaga kepercayaan dan keberlanjutan teknologi ini.

Untuk informasi lebih lanjut dan update keamanan terkait, ikuti terus berita dari The Hacker News serta sumber terpercaya lainnya.