LMDeploy CVE-2026-33626 漏洞在披露后13小时内被利用

Source: The Hacker News

摘要

在 LMDeploy（一个用于压缩、部署和服务大型语言模型（LLM）的开源工具包）中发现的高危安全漏洞，在公开披露后不到 13 小时即被野外主动利用。

漏洞细节

• CVE 标识符： CVE‑2026‑33626
• CVSS 评分： 7.5（高）
• 类型： 服务器端请求伪造（SSRF）
• 影响： 允许攻击者强制受影响的服务器发起任意 HTTP 请求，可能导致敏感数据泄露或内部服务被访问。

时间线

• 披露时间： 在 [披露日期] 公开披露。
• 利用情况： 披露后 13 小时内出现活跃利用的报告。

缓解措施

• 更新： 应用修复 CVE‑2026‑33626 的最新 LMDeploy 版本。
• 网络控制： 将 LMDeploy 实例的出站流量限制为仅可信端点。
• 输入验证： 确保对任何用户可控的 URL 进行验证和清理后再处理。

参考资料

• 官方 LMDeploy 安全公告：[链接到公告]
• CVE 条目：https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-33626

如果您正在使用 LMDeploy，请确认您的部署运行的是已打补丁的版本，并检查网络出站规则，以降低潜在的 SSRF 攻击风险。