TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

トップ > CVE-2026-33626 > LMDeploy CVE-2026-33626 Flaw Exploited Within 13 Hours of Disclosure

LMDeploy CVE-2026-33626 Flaw Exploited Within 13 Hours of Disclosure

CVE-2026-33626 アプリ: LMDeploy 脆弱性: SSRF / サーバーサイドリクエストフォージェリ

【要点】

◎LMDeployのSSRF脆弱性CVE-2026-33626は公開後わずか13時間以内に悪用され、攻撃者は内部ネットワークやクラウド認証情報への到達を試みた (The Hacker News)


【訳】

LMDeployの脆弱性(CVE-2026-33626)が、公開から13時間以内に悪用された


【要約】

LMDeployのvision-language機能に存在するSSRF脆弱性CVE-2026-33626は、公開から約13時間以内に実環境で悪用された。攻撃者はこの欠陥を使い、AWSのメタデータサービス、Redis、MySQL、ループバックアドレスなど内部資源へのアクセスやポートスキャン、外部へのDNSコールバックによる到達確認を実施した。PoCが未公開でも即座に悪用された事実は、AI基盤ソフトの脆弱性公開後に防御側へ残される対応時間が極めて短いことを示している。


【ニュース】

◆LMDeploy CVE-2026-33626 Flaw Exploited Within 13 Hours of Disclosure (The Hacker News, 2026/04/24)
[LMDeployの脆弱性(CVE-2026-33626)が、公開から13時間以内に悪用された]
https://thehackernews.com/2026/04/lmdeploy-cve-2026-33626-flaw-exploited.html

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022