Уразливість SSRF у lmdeploy до версії 0.12.3

lmdeploy до 0.12.3 має SSRF у модулі vision-language, що дозволяє доступ до внутрішніх мереж. Оновіть до 0.12.3 для захисту.
CVE-2026-33626CVSS 7.5General

Уразливість SSRF у lmdeploy до версії 0.12.3

lmdeploy до 0.12.3 має SSRF у модулі vision-language, що дозволяє доступ до внутрішніх мереж. Оновіть до 0.12.3 для захисту.

CVSS
7.5 HIGH
EPSS
98.63%
Активно використовується
немає в KEV
Продукт
lmdeploy

Що відомо

lmdeploy — інструмент для роботи з великими мовними моделями, має уразливість Server-Side Request Forgery (SSRF) у модулі vision-language. Функція load_image() дозволяє отримувати дані з довільних URL без перевірки внутрішніх IP-адрес, що відкриває доступ до внутрішніх мереж і метаданих хмарних сервісів.

Бізнес-вплив

Уразливість SSRF у lmdeploy може призвести до несанкціонованого доступу до внутрішніх ресурсів і конфіденційної інформації, що підвищує ризик компрометації інфраструктури. Це особливо критично для організацій, які використовують lmdeploy для обробки великих мовних моделей у хмарних або ізольованих середовищах.

Рекомендовані дії адміністратора

Рекомендується оновити lmdeploy до версії 0.12.3 або новішої, де ця уразливість усунена. Якщо оновлення неможливе, слід обмежити доступ до функції load_image(), перевірити журнали на підозрілі запити та мінімізувати експозицію внутрішніх мереж. Також варто переглянути політики безпеки для запобігання SSRF-атакам.

Джерела