{"id":663,"date":"2026-04-24T09:25:27","date_gmt":"2026-04-24T09:25:27","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/24\/fallo-de-lmdeploy-cve-2026-33626-explotado-dentro-de-las-13-horas-posteriores-a-la-divulgacion-cyberdefensa-mx\/"},"modified":"2026-04-24T09:25:27","modified_gmt":"2026-04-24T09:25:27","slug":"fallo-de-lmdeploy-cve-2026-33626-explotado-dentro-de-las-13-horas-posteriores-a-la-divulgacion-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/24\/fallo-de-lmdeploy-cve-2026-33626-explotado-dentro-de-las-13-horas-posteriores-a-la-divulgacion-cyberdefensa-mx\/","title":{"rendered":"Fallo de LMDeploy CVE-2026-33626 explotado dentro de las 13 horas posteriores a la divulgaci\u00f3n \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Una falla de seguridad de alta gravedad en LMDeploy<\/a>un conjunto de herramientas de c\u00f3digo abierto para comprimir, implementar y servir LLM, ha sido objeto de explotaci\u00f3n activa en la naturaleza menos de 13 horas despu\u00e9s de su divulgaci\u00f3n p\u00fablica.<\/p>\n

La vulnerabilidad, rastreada como CVE-2026-33626<\/strong> (Puntuaci\u00f3n CVSS: 7,5), se relaciona con una vulnerabilidad de falsificaci\u00f3n de solicitudes del lado del servidor (SSRF) que podr\u00eda explotarse para acceder a datos confidenciales.<\/p>\n

\u00abExiste una vulnerabilidad de falsificaci\u00f3n de solicitudes del lado del servidor (SSRF) en el m\u00f3dulo de lenguaje de visi\u00f3n de LMDeploy\u00bb, seg\u00fan un consultivo<\/a> publicado por los mantenedores del proyecto la semana pasada. \u00abLa funci\u00f3n load_image() en lmdeploy\/vl\/utils.py recupera URL arbitrarias sin validar direcciones IP internas\/privadas, lo que permite a los atacantes acceder a servicios de metadatos en la nube, redes internas y recursos confidenciales\u00bb.<\/p>\n

La deficiencia afecta a todas las versiones del kit de herramientas (0.12.0 y anteriores) con soporte de lenguaje visual. Al investigador de Orca Security, Igor Stepansky, se le atribuye el descubrimiento y el informe del error.<\/p>\n

La explotaci\u00f3n exitosa de la vulnerabilidad podr\u00eda permitir a un atacante robar credenciales de la nube, llegar a servicios internos que no est\u00e1n expuestos a Internet, escanear puertos en redes internas y crear oportunidades de movimiento lateral.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

La empresa de seguridad en la nube Sysdig, en un an\u00e1lisis publicado esta semana, dijo que detect\u00f3 el primer intento de explotaci\u00f3n de LMDeploy contra sus sistemas honeypot dentro de las 12 horas y 31 minutos posteriores a la publicaci\u00f3n de la vulnerabilidad en GitHub. El intento de explotaci\u00f3n se origina en la direcci\u00f3n IP 103.116.72[.]119.<\/p>\n

\u00abEl atacante no simplemente valid\u00f3 el error y sigui\u00f3 adelante. En cambio, durante una \u00fanica sesi\u00f3n de ocho minutos, utilizaron el cargador de im\u00e1genes en lenguaje visual como una primitiva HTTP SSRF gen\u00e9rica para escanear el puerto de la red interna detr\u00e1s del servidor modelo: AWS Instance Metadata Service (IMDS), Redis, MySQL, una interfaz administrativa HTTP secundaria y un punto final de exfiltraci\u00f3n de DNS fuera de banda (OOB). dicho<\/a>.<\/p>\n

Las acciones emprendidas por el adversario, detectadas el 22 de abril de 2026 a las 03:35 am UTC, se desarrollaron en 10 solicitudes distintas en tres fases, y las solicitudes cambiaron entre modelos de lenguaje de visi\u00f3n (VLM) como internlm-xcomposer2 y OpenGVLab\/InternVL2-8B para probablemente evitar levantar sospechas.<\/p>\n