Una falla de seguridad de alta gravedad en LMDeployun conjunto de herramientas de código abierto para comprimir, implementar y servir LLM, ha sido objeto de explotación activa en la naturaleza menos de 13 horas después de su divulgación pública.
La vulnerabilidad, rastreada como CVE-2026-33626 (Puntuación CVSS: 7,5), se relaciona con una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) que podría explotarse para acceder a datos confidenciales.
«Existe una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en el módulo de lenguaje de visión de LMDeploy», según un consultivo publicado por los mantenedores del proyecto la semana pasada. «La función load_image() en lmdeploy/vl/utils.py recupera URL arbitrarias sin validar direcciones IP internas/privadas, lo que permite a los atacantes acceder a servicios de metadatos en la nube, redes internas y recursos confidenciales».
La deficiencia afecta a todas las versiones del kit de herramientas (0.12.0 y anteriores) con soporte de lenguaje visual. Al investigador de Orca Security, Igor Stepansky, se le atribuye el descubrimiento y el informe del error.
La explotación exitosa de la vulnerabilidad podría permitir a un atacante robar credenciales de la nube, llegar a servicios internos que no están expuestos a Internet, escanear puertos en redes internas y crear oportunidades de movimiento lateral.
La empresa de seguridad en la nube Sysdig, en un análisis publicado esta semana, dijo que detectó el primer intento de explotación de LMDeploy contra sus sistemas honeypot dentro de las 12 horas y 31 minutos posteriores a la publicación de la vulnerabilidad en GitHub. El intento de explotación se origina en la dirección IP 103.116.72[.]119.
«El atacante no simplemente validó el error y siguió adelante. En cambio, durante una única sesión de ocho minutos, utilizaron el cargador de imágenes en lenguaje visual como una primitiva HTTP SSRF genérica para escanear el puerto de la red interna detrás del servidor modelo: AWS Instance Metadata Service (IMDS), Redis, MySQL, una interfaz administrativa HTTP secundaria y un punto final de exfiltración de DNS fuera de banda (OOB). dicho.
Las acciones emprendidas por el adversario, detectadas el 22 de abril de 2026 a las 03:35 am UTC, se desarrollaron en 10 solicitudes distintas en tres fases, y las solicitudes cambiaron entre modelos de lenguaje de visión (VLM) como internlm-xcomposer2 y OpenGVLab/InternVL2-8B para probablemente evitar levantar sospechas.
- Apunte a instancias de AWS IMDS y Redis en el servidor.
- Pruebe la salida con una devolución de llamada DNS fuera de banda (OOB) para requestrepo[.]com para confirmar que la vulnerabilidad SSRF puede alcanzar hosts externos arbitrarios, seguido de enumerar la superficie de la API.
- Escaneo de puertos en la interfaz loopback («127.0.0[.]1»)
Los hallazgos son otro recordatorio de cómo los actores de amenazas están observando de cerca las nuevas revelaciones de vulnerabilidades y explotándolas antes de que los usuarios intermedios puedan aplicar las correcciones, incluso en los casos en los que no existen vulnerabilidades de prueba de concepto (PoC) en el momento del ataque.
«CVE-2026-33626 se ajusta a un patrón que hemos observado repetidamente en el espacio de la infraestructura de IA durante los últimos seis meses: las vulnerabilidades críticas en los servidores de inferencia, las puertas de enlace modelo y las herramientas de orquestación de agentes se están utilizando como armas a las pocas horas de la publicación del aviso, independientemente del tamaño o extensión de su base de instalación», dijo Sysdig.
«La IA generativa (GenAI) está acelerando este colapso. Un aviso tan específico como GHSA-6w67-hwm5-92mq, que incluye el archivo afectado, el nombre del parámetro, la explicación de la causa raíz y el código vulnerable de muestra, es efectivamente un mensaje de entrada para que cualquier LLM comercial genere un exploit potencial».
Complementos de WordPress y dispositivos Modbus expuestos a Internet atacados
La divulgación se produce cuando también se ha detectado a actores de amenazas explotando vulnerabilidades en dos complementos de WordPress: Ninja Forms – File Upload (CVE-2026-0740puntuación CVSS: 9,8) y Breeze Cache (CVE-2026-3844puntuación CVSS: 9,8) – para cargar archivos arbitrarios en sitios susceptibles, lo que resulta en la ejecución de código arbitrario y una toma de control completa.
Atacantes desconocidos también han sido vinculados a una campaña global dirigida a controladores lógicos programables (PLC) habilitados para Modbus y expuestos a Internet de septiembre a noviembre de 2025 que abarcó 70 países y 14,426 IP objetivo distintas, la mayoría de las cuales están ubicadas en EE. UU., Francia, Japón, Canadá e India. Se ha descubierto que un subconjunto de estas solicitudes provienen de fuentes geolocalizadas en China.
«La actividad combinó sondeos automatizados a gran escala con patrones más selectivos que sugieren huellas dactilares más profundas del dispositivo, intentos de interrupción y posibles rutas de manipulación cuando se puede acceder a los PLC desde la Internet pública», investigadores de Cato Networks. dicho. «Muchas IP de origen tenían puntuaciones de reputación pública bajas o nulas, lo que coincide con hosts de escaneo nuevos o rotativos».
