LMDeploy CVE-2026-33626 취약점, 공개 후 13시간 이내에 악용

Source: The Hacker News

Summary

LMDeploy(대규모 언어 모델(LLM)을 압축, 배포 및 서비스하기 위한 오픈소스 툴킷)에서 발견된 고위험 보안 결함이 공개된 지 13시간도 채 되지 않아 실제로 악용되고 있습니다.

Vulnerability Details

• CVE Identifier: CVE‑2026‑33626
• CVSS Score: 7.5 (High)
• Type: Server‑Side Request Forgery (SSRF)
• Impact: 공격자가 취약한 서버를 이용해 임의의 HTTP 요청을 강제 실행시킬 수 있어, 민감한 데이터나 내부 서비스가 노출될 위험이 있습니다.

Timeline

• Disclosure: *[공개 일자]*에 공개되었습니다.
• Exploitation: 공개 후 13시간 이내에 실제 악용 사례가 보고되었습니다.

Mitigation

• Update: CVE‑2026‑33626을 해결한 최신 LMDeploy 릴리스를 적용하십시오.
• Network Controls: LMDeploy 인스턴스의 아웃바운드 트래픽을 신뢰할 수 있는 엔드포인트로만 제한하십시오.
• Input Validation: 사용자 입력 URL을 처리하기 전에 반드시 검증하고 정제하십시오.

References

• 공식 LMDeploy 보안 권고: [링크 to advisory]
• CVE entry: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-33626

LMDeploy를 사용 중이라면, 패치된 버전으로 배포가 이루어졌는지 확인하고 네트워크 이그레스 규칙을 검토하여 잠재적인 SSRF 공격을 방지하십시오.