LMDeploy 服务器端请求伪造漏洞(CVE-2026-33626)

北京赛克艾威科技有限公司 2026-04-20


  • 漏洞编号:CVE-2026-33626
  • 漏洞等级:高危
  • 漏洞标签:关键漏洞、在野利用、POC公开
  • 发布时间:2026-04-20

漏洞描述

LMDeploy是一个开源的模型部署工具包,专门用于大型语言模型的压缩、部署和服务化,支持多种推理引擎和高效的模型服务能力。该工具广泛应用于生产环境中的AI模型部署场景,特别针对视觉语言模型提供专门的支持模块。在其视觉语言处理功能中,由于图像加载机制未对输入URL进行严格的地址验证和过滤,导致攻击者可利用此缺陷发起服务器端请求伪造攻击。该漏洞允许攻击者通过构造恶意请求,使服务器向任意目标地址发起连接,包括内部网络和元数据服务。

修复建议

暂无

参考链接

https://ti.qianxin.com/vulnerability/detail/456299