LMDeployのSSRF脆弱性 CVE-2026-33626、公開後13時間で悪用開始
要約
LLMの圧縮、デプロイ、サービス提供のためのオープンソースツールキットであるLMDeployに、高 severity のServer-Side Request Forgery(SSRF)脆弱性(CVE-2026-33626、CVSSスコア 7.5)が発見された。この脆弱性は、公開からわずか13時間以内に活発な悪用が開始され、機微なデータへのアクセスを許す可能性がある。ゼロデイ攻撃に近い速度での悪用は、パッチ適用が遅れる組織にとって重大なリスクを示している。
CISO視点での示唆・学び
示唆・学びLLM関連のオープンソースツールキットの脆弱性が迅速に悪用される事例は、サプライチェーンにおけるAIコンポーネントのセキュリティリスクの深刻さを示す。CISOは、自社で利用するLLM関連ライブラリやツールキットの脆弱性情報を迅速に追跡し、発見から悪用までの時間が極めて短くなっている現状を認識した上で、緊急パッチ適用プロセスとサプライチェーンセキュリティ戦略を再評価する必要がある。
重要度判定の理由
ゼロデイ攻撃に近い速度での悪用は、LLMサプライチェーンに即座に影響を及ぼす可能性があり、即時対応が求められるため。
タグ
元記事情報
原題
LMDeploy CVE-2026-33626 Flaw Exploited Within 13 Hours of Disclosure
ソース・公開日
The Hacker News / 2026-04-24
A high-severity security flaw in LMDeploy, an open-source toolkit for compressing, deploying, and serving LLMs, has come under active exploitation in the wild less than 13 hours after its public disclosure.
The vulnerability, tracked as CVE-2026-33626 (CVSS score: 7.5), relates to a Server-Side Requ