Vulnerabilidad de LMDeploy permite acceso no autorizado a datos sensibles en menos de 13 horas

Una grave vulnerabilidad en LMDeploy, una herramienta de código abierto utilizada para manejar modelos de inteligencia artificial, ha sido explotada activamente en la red menos de 13 horas después de su divulgación pública. Esta falla, identificada como CVE-2026-33626, permite a atacantes acceder a datos confidenciales a través de un ataque conocido como 'Server-Side Request Forgery' (SSRF), donde se engaña al servidor para que realice solicitudes no autorizadas.

Cómo funciona el ataque

La vulnerabilidad se encuentra en un módulo de LMDeploy que procesa imágenes. La función load_image() permite cargar URLs sin validar correctamente las direcciones IP internas. Esto significa que un atacante puede:

• Acceder a servicios de metadatos en la nube.
• Explorar redes internas que normalmente no son accesibles desde Internet.
• Robar credenciales de acceso a la nube.
• Realizar escaneos de puertos en la red interna.

A quién afecta

Esta vulnerabilidad afecta a todas las versiones de LMDeploy anteriores a la 0.12.0 que tienen soporte para el módulo de lenguaje visual. La firma de seguridad Sysdig reportó que el primer intento de explotación se registró en sus sistemas dentro de las 12 horas y 31 minutos después de la divulgación, lo que indica que los atacantes están actuando rápidamente tras el anuncio de la vulnerabilidad.

Qué significa esto para ti

Para usuarios y empresas que utilicen LMDeploy, esta situación resalta la importancia de actualizar sus herramientas de software de inmediato y de ser proactivos en la gestión de vulnerabilidades. Ignorar actualizaciones de seguridad puede resultar en accesos no autorizados a datos sensibles, comprometiendo la seguridad de la infraestructura digital.