OpenMMLab の LLM 推論サーバ「LMDeploy」に Server-Side Request Forgery (SSRF) 脆弱性 CVE-2026-33626 が公開され、12 ~ 13 時間後にはクラウドセキュリティ企業 Sysdig のハニーポットで実際の悪用が観測されました。CVSS は 7.5 で、0.12.3 未満の全バージョンが対象です。脆弱性は VLM 用の load_image() がプライベート IP を検証せず任意 URL を取得してしまう点にあります。
主なポイント
- 攻撃元 IP
103.116.72[.]119から、AWS IMDS、Redis、MySQL、管理用 HTTP、DNS 経由の OOB と立て続けにスキャン - 8 分間のセッションで vision-language の画像取得機能を SSRF プリミティブとして転用し、内部ネットワークを列挙
- LMDeploy は 0.12.3 で修正済み。運用中のサーバは即時アップグレードが推奨
- AI 推論ゲートウェイ / モデルサーバ / エージェント基盤の脆弱性が公開後数時間で武器化される傾向が継続
- Sysdig は Cloud Metadata エンドポイントへのアウトバウンド遮断と画像取得 URL のホワイトリスト化を提案
出典: LMDeploy CVE-2026-33626 Flaw Exploited Within 13 Hours of Disclosure