CVE-2026-33626: Luka SSRF w module wizji językowej lmdeploy
Wysokie ryzyko SSRF w lmdeploy przed wersją 0.12.3. Zalecana aktualizacja do najnowszej wersji w celu zabezpieczenia systemu.
- CVSS
- 7.5 HIGH
- EPSS
- 98.63%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- lmdeploy
Co wiadomo
lmdeploy w wersjach przed 0.12.3 zawiera lukę Server-Side Request Forgery (SSRF) w module wizji językowej. Funkcja load_image() pobiera dowolne adresy URL bez weryfikacji adresów wewnętrznych, co umożliwia atakującym dostęp do usług metadanych chmury i zasobów wewnętrznych.
Wpływ biznesowy
Luka SSRF o wysokim poziomie zagrożenia (CVSS 7.5) może pozwolić atakującym na nieautoryzowany dostęp do wewnętrznych sieci i wrażliwych zasobów, co stwarza ryzyko wycieku danych i naruszenia bezpieczeństwa infrastruktury IT. Operatorzy powinni traktować tę podatność priorytetowo, szczególnie jeśli korzystają z wersji lmdeploy starszych niż 0.12.3.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie lmdeploy do wersji 0.12.3 lub nowszej, która usuwa lukę SSRF. W przypadku braku możliwości aktualizacji, ogranicz dostęp do modułu wizji językowej, monitoruj logi pod kątem podejrzanych żądań oraz zweryfikuj reguły zapory sieciowej, aby zminimalizować ryzyko wykorzystania podatności.