Критическая уязвимость в LMDeploy (инструменте с открытым исходным кодом для сжатия, развертывания и обслуживания LLM-моделей) начала активно эксплуатироваться менее чем через 13 часов после публикации.
Уязвимость получила идентификатор CVE-2026-33626 и оценку 7.5 по шкале CVSS. Она связана с SSRF-атакой и позволяет получать доступ к чувствительным данным.
Проблема находится в модуле vision-language. Функция load_image() в файле lmdeploy/vl/utils.py загружает произвольные URL без проверки внутренних и приватных IP-адресов. Это дает возможность обращаться к внутренним сервисам, метаданным облака и другим защищенным ресурсам.
Уязвимы версии до 0.12.3 с поддержкой vision-language. Ошибка была обнаружена исследователем Игорем Степанским.
Эксплуатация позволяет злоумышленнику извлекать облачные учетные данные, получать доступ к внутренним сервисам, сканировать сеть и перемещаться внутри инфраструктуры.
Компания Sysdig зафиксировала первую попытку атаки через 12 часов и 31 минуту после публикации advisory.
Атака происходила в течение восьми минут и использовала загрузчик изображений как универсальный SSRF-инструмент для сетевого сканирования. Были проверены AWS Instance Metadata Service, Redis, MySQL, административные HTTP-интерфейсы и внешний DNS-канал для эксфильтрации.
Атакующие выполнили последовательность действий из трех этапов. Сначала проверили доступ к AWS IMDS и Redis. Затем протестировали исходящие соединения через DNS-запрос. После этого провели сканирование локального интерфейса 127.0.0.1.
Запросы выполнялись через разные модели vision-language, включая internlm-xcomposer2 и InternVL2-8B, вероятно для обхода обнаружения.
Исследователи отмечают, что подобные атаки становятся типичными для AI-инфраструктуры. Уязвимости в inference-серверах и инструментах оркестрации начинают использоваться практически сразу после публикации, даже без готовых PoC.
Отдельно подчеркивается, что сами тексты advisory теперь содержат достаточно информации для генерации эксплойтов с помощью LLM.
Исправление добавлено в версии 0.12.3, где введены проверки URL и блокировка обращений к внутренним адресам.
Источник: HN