CVE-2026-33626 in lmdeployinformação

Sumário

de VulDB • 31/05/2026

O LMDeploy é um kit de ferramentas para compactar, implantar e servir modelos de linguagem de grande escala. As versões anteriores à 0.12.3 possuem uma vulnerabilidade de Server-Side Request Forgery (SSRF) no módulo de visão e linguagem do LMDeploy. A função `load_image()` em `lmdeploy/vl/utils.py` busca URLs arbitrários sem validar endereços IP internos/privados, permitindo que atacantes acessem serviços de metadados em nuvem, redes internas e recursos sensíveis. A versão 0.12.3 corrige o problema.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

23/03/2026

Divulgação

21/04/2026

Moderação

aceite

Entrada

VDB-358369

CPE

pronto

CWE

CWE-918 (confirmado)

CVSS

7.5 (CNA)

EPSS

0.08696

KEV

não

Atividades

muito baixo

Fontes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-33626
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-33626
CVE Details	https://www.cvedetails.com/cve/CVE-2026-33626/

◂ Voltar Visão Geral Próximo ▸

Do you want to use VulDB in your project?

Use the official API to access entries easily!