Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

LMDeploy ранливост CVE-2026-33626 експлоатирана во рок од 13 часа по објавување

Објавено: 24.04.2026

Сериозна безбедносна ранливост во LMDeploy, open-source алатка за компресија, распоредување и сервисирање на LLM модели, почнала активно да се експлоатира во реални услови помалку од 13 часа по нејзиното јавно објавување.

Ранливоста, означена како CVE-2026-33626 (CVSS резултат: 7.5), се однесува на Server-Side Request Forgery (SSRF) пропуст кој може да се искористи за пристап до чувствителни податоци.

„SSRF ранливост постои во vision-language модулот на LMDeploy“, се наведува во советот објавен од одржувачите на проектот. „Функцијата load_image() во lmdeploy/vl/utils.py презема произволни URL-адреси без да ги валидира внатрешните или приватните IP адреси, што им овозможува на напаѓачите пристап до cloud metadata сервиси, внатрешни мрежи и чувствителни ресурси.“

Овој пропуст ги засега сите верзии до 0.12.0 (вклучително) кои поддржуваат vision-language функционалности. Истражувачот Игор Степански од Orca Security е заслужен за откривање и пријавување на грешката.

Успешната експлоатација може да му овозможи на напаѓачот:

  • кражба на cloud креденцијали
  • пристап до интерни сервиси кои не се јавно достапни
  • скенирање на внатрешни мрежи (port scanning)
  • создавање услови за странично движење

Компанијата за cloud безбедност Sysdig соопшти дека го детектирала првиот обид за експлоатација на нивни honeypot системи само 12 часа и 31 минута по објавувањето на ранливоста на GitHub. Обидот потекнува од IP адресата 103.116.72[.]119.

„Напаѓачот не се задоволи само со проверка на ранливоста. Во текот на една сесија од осум минути, ја искористи функцијата за вчитување слики како општ HTTP SSRF механизам за скенирање на внатрешната мрежа зад модел-серверот: AWS Instance Metadata Service (IMDS), Redis, MySQL, секундарен HTTP административен интерфејс и out-of-band (OOB) DNS канал за ексфилтрација“, соопшти компанијата.

Активностите, забележани на 22 април 2026 во 03:35 UTC, се одвивале преку 10 барања во три фази, при што напаѓачот менувал vision-language модели како internlm-xcomposer2 и OpenGVLab/InternVL2-8B за да избегне детекција:

  • таргетирање на AWS IMDS и Redis инстанци
  • тестирање на излезен сообраќај преку OOB DNS повик кон requestrepo[.]com и мапирање на API површината
  • скенирање на loopback интерфејсот (127.0.0.1)

Овие наоди уште еднаш покажуваат дека напаѓачите внимателно ги следат новообјавените ранливости и ги експлоатираат пред организациите да применат поправки – дури и кога нема јавно достапен proof-of-concept (PoC).

„CVE-2026-33626 е дел од тренд што го гледаме во AI инфраструктурата во последните шест месеци: критични ранливости во inference сервери, model gateway системи и orchestration алатки се злоупотребуваат во рок од неколку часа по објавувањето“, соопшти Sysdig.

„Генеративната вештачка интелигенција дополнително го забрзува овој процес. Детален advisory како GHSA-6w67-hwm5-92mq – кој содржи конкретни датотеки, параметри, објаснување на причината и пример код – практично служи како prompt за LLM модели да генерираат потенцијален exploit.“

WordPress плагини и интернет-достапни Modbus уреди се мета на напади

Ова откритие доаѓа во време кога се забележани напаѓачи кои експлоатираат ранливости во два WordPress плагини – Ninja Forms – File Upload (CVE-2026-0740, CVSS: 9.8) и Breeze Cache (CVE-2026-3844, CVSS: 9.8) – со цел да прикачат произволни датотеки на ранливи веб-страници. Ова може да доведе до извршување на произволен код и целосно преземање на системот.

Покрај тоа, непознати напаѓачи се поврзани со глобална кампања насочена кон интернет-достапни, Modbus-овозможени PLC (programmable logic controllers) уреди, која се одвивала од септември до ноември 2025 година. Кампањата опфатила 70 земји и 14.426 уникатни IP адреси како цели.

Најголем дел од таргетираните системи се наоѓаат во САД, Франција, Јапонија, Канада и Индија. Дел од малициозниот сообраќај е утврдено дека потекнува од извори геолокирани во Кина.

„Активноста комбинираше масовно автоматизирано скенирање со поселектирани обрасци што укажуваат на подлабоко ‘fingerprinting’ на уредите, обиди за нарушување и потенцијални начини за манипулација кога PLC уредите се достапни од јавниот интернет“, изјавија истражувачите од Cato Networks.

„Многу од изворните IP адреси имаа низок или нула јавен репутациски рејтинг, што е во согласност со користење на нови или ротирачки хостови за скенирање.“

Извори:

  • The Hacker News – LMDeploy CVE-2026-33626 Flaw Exploited Within 13 Hours of Disclosure The Hacker News