LMDeploy CVE-2026-33626 Flaw Exploited Within 13 Hours of Disclosure

Exploitation ultra-rapide de la vulnérabilité SSRF dans LMDeploy

Une faille de sécurité critique dans LMDeploy (outil de déploiement pour grands modèles de langage) a été exploitée par des attaquants moins de 13 heures après sa divulgation publique. Cette situation illustre la rapidité avec laquelle les cybercriminels exploitent désormais les nouveaux avis de sécurité, en utilisant parfois l’IA pour générer des exploits à partir des descriptions techniques fournies.

Points clés :

• Vulnérabilité : Server-Side Request Forgery (SSRF) située dans la fonction load_image() du module vision-langage.
• Impact : L’absence de validation des adresses IP permet aux attaquants d’accéder aux métadonnées cloud, aux services internes (Redis, MySQL), de scanner les ports du réseau local et de provoquer des mouvements latéraux.
• Réactivité : Les attaquants ont utilisé la faille pour effectuer une reconnaissance réseau complète (scan de ports et interrogation de services) en seulement huit minutes.

Vulnérabilités identifiées :

• CVE-2026-33626 (LMDeploy) : Score CVSS 7.5. Affecte toutes les versions 0.12.0 et antérieures prenant en charge les modèles vision-langage.
• CVE-2026-0740 & CVE-2026-3844 (WordPress) : Failles critiques (CVSS 9.8) dans les extensions “Ninja Forms” et “Breeze Cache”, permettant l’exécution arbitraire de code via l’upload de fichiers.

Recommandations :

• Mise à jour immédiate : Appliquer les correctifs pour LMDeploy et les extensions WordPress mentionnées dès qu’ils sont disponibles.
• Isolation réseau : Restreindre l’accès aux interfaces d’administration et aux services de métadonnées cloud pour les serveurs exposés à Internet.
• Veille proactive : Ne pas attendre la disponibilité d’un exploit public ou d’une preuve de concept (PoC) pour patcher les systèmes, car le délai d’exploitation est désormais extrêmement réduit.

Source