Uma falha de segurança de alta gravidade no LMDeploy, um kit de ferramentas open source para compactar, implantar e servir modelos de linguagem, passou a ser explorada ativamente em ambiente real menos de 13 horas após sua divulgação pública.
A vulnerabilidade, identificada como
CVE-2026-33626
e com pontuação CVSS de 7,5, está relacionada a uma falha de Server-Side Request Forgery, que pode ser explorada para acessar dados sensíveis.
“Existe uma vulnerabilidade de SSRF no módulo de visão e linguagem do LMDeploy”, informou um aviso publicado pelos mantenedores do projeto na semana passada.
“A função load_image() em lmdeploy/vl/utils.py busca URLs arbitrárias sem validar endereços IP internos ou privados, permitindo que invasores acessem serviços de metadados em nuvem, redes internas e recursos sensíveis.”
A falha afeta todas as versões do kit de ferramentas com suporte a visão e linguagem, da 0.12.0 para trás.
O pesquisador Igor Stepansky, da Orca Security, foi creditado pela descoberta e pelo reporte do bug.
Se explorada com sucesso, a vulnerabilidade pode permitir que um atacante roube credenciais de nuvem, acesse serviços internos que não estão expostos à internet, faça varredura de portas em redes internas e crie oportunidades de movimentação lateral.
A empresa de segurança em nuvem Sysdig afirmou, em uma análise publicada nesta semana, que detectou a primeira tentativa de exploração contra seus sistemas isca em 12 horas e 31 minutos após a vulnerabilidade ser publicada no GitHub.
A tentativa de ataque partiu do IP 103.116.72[.]119.
“O atacante não se limitou a validar o bug e seguir em frente.
Em uma única sessão de oito minutos, ele usou o carregador de imagens do módulo de visão e linguagem como um primitivo genérico de SSRF via HTTP para varrer portas da rede interna atrás do servidor de modelo: serviço de metadados de instância da Amazon Web Services, Redis, MySQL, uma segunda interface administrativa HTTP e um endpoint de exfiltração DNS fora de banda”, disse a empresa.
As ações do adversário, detectadas em 22 de abril de 2026, às 3h35 UTC, ocorreram em 10 requisições distintas distribuídas em três fases.
As requisições alternaram entre modelos de visão e linguagem, como internlm-xcomposer2 e OpenGVLab/InternVL2-8B, provavelmente para evitar levantar suspeitas.
Entre os alvos estavam instâncias do serviço de metadados da AWS e Redis no servidor.
O invasor também testou a saída de tráfego com um callback DNS fora de banda para requestrepo[.]com, confirmando que a SSRF poderia alcançar hosts externos arbitrários, e em seguida mapeou a superfície da API.
Depois, fez varredura de portas na interface de loopback, 127.0.0[.]1.
Os achados reforçam como agentes de ameaça acompanham de perto novas divulgações de vulnerabilidades e as exploram antes que usuários consigam aplicar correções, mesmo quando ainda não existe código de prova de conceito público no momento do ataque.
“A
CVE-2026-33626
se encaixa em um padrão que temos observado repetidamente no espaço de infraestrutura de IA nos últimos seis meses: vulnerabilidades críticas em servidores de inferência, gateways de modelos e ferramentas de orquestração de agentes estão sendo transformadas em arma em poucas horas após a publicação do aviso, independentemente do tamanho da base instalada”, afirmou a Sysdig.
“A IA generativa está acelerando esse cenário.
Um aviso tão específico quanto o GHSA-6w67-hwm5-92mq, que inclui o arquivo afetado, o nome do parâmetro, a explicação da causa raiz e um exemplo de código vulnerável, na prática permite que modelos de linguagem comerciais gerem um possível código de exploração.”
Plugins do WordPress e dispositivos industriais também são alvo
A divulgação ocorre ao mesmo tempo em que agentes de ameaça também foram vistos explorando vulnerabilidades em dois plugins do WordPress, Ninja Forms - File Upload (
CVE-2026-0740
, CVSS 9,8) e Breeze Cache (
CVE-2026-3844
, CVSS 9,8), para enviar arquivos arbitrários a sites vulneráveis, o que pode resultar em execução de código e comprometimento total do sistema.
Atacantes não identificados também foram associados a uma campanha global contra controladores lógicos programáveis com suporte a Modbus e expostos à internet, entre setembro e novembro de 2025.
A operação atingiu 70 países e 14.426 IPs distintos, a maioria localizada nos Estados Unidos, França, Japão, Canadá e Índia.
Parte dessas requisições foi atribuída a origens geolocalizadas na China.
“A atividade combinou varredura automatizada em larga escala com padrões mais seletivos, que sugerem identificação mais profunda dos dispositivos, tentativas de interrupção e possíveis caminhos de manipulação quando os controladores ficam acessíveis pela internet pública”, disseram pesquisadores da Cato Networks.
“Muitos IPs de origem tinham pontuação de reputação pública baixa ou nula, o que é consistente com hosts de varredura novos ou rotativos.”
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...