CVE-2026-33626: Luka SSRF w module wizji językowej lmdeploy

Wysokie ryzyko SSRF w lmdeploy przed wersją 0.12.3. Zalecana aktualizacja do najnowszej wersji w celu zabezpieczenia systemu.
CVE-2026-33626CVSS 7.5General

CVE-2026-33626: Luka SSRF w module wizji językowej lmdeploy

Wysokie ryzyko SSRF w lmdeploy przed wersją 0.12.3. Zalecana aktualizacja do najnowszej wersji w celu zabezpieczenia systemu.

CVSS
7.5 HIGH
EPSS
98.63%
Aktywnie wykorzystywana
brak w KEV
Produkt
lmdeploy

Co wiadomo

lmdeploy w wersjach przed 0.12.3 zawiera lukę Server-Side Request Forgery (SSRF) w module wizji językowej. Funkcja load_image() pobiera dowolne adresy URL bez weryfikacji adresów wewnętrznych, co umożliwia atakującym dostęp do usług metadanych chmury i zasobów wewnętrznych.

Wpływ biznesowy

Luka SSRF o wysokim poziomie zagrożenia (CVSS 7.5) może pozwolić atakującym na nieautoryzowany dostęp do wewnętrznych sieci i wrażliwych zasobów, co stwarza ryzyko wycieku danych i naruszenia bezpieczeństwa infrastruktury IT. Operatorzy powinni traktować tę podatność priorytetowo, szczególnie jeśli korzystają z wersji lmdeploy starszych niż 0.12.3.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie lmdeploy do wersji 0.12.3 lub nowszej, która usuwa lukę SSRF. W przypadku braku możliwości aktualizacji, ogranicz dostęp do modułu wizji językowej, monitoruj logi pod kątem podejrzanych żądań oraz zweryfikuj reguły zapory sieciowej, aby zminimalizować ryzyko wykorzystania podatności.

Źródła