Una falla de seguridad crítica que afecta a **LMDeploy**, una herramienta diseñada para comprimir, desplegar y servir LLMs, ha sido explotada activamente en la naturaleza poco después de su divulgación pública. Esto subraya el creciente riesgo de explotación rápida dirigida a la infraestructura de IA. ### CVE-2026-33626: Server-Side Request Forgery La vulnerabilidad, identificada como **CVE-2026-33626** (puntuación CVSS: 7.5), es un problema de Server-Side Request Forgery (SSRF) que permite a los atacantes acceder potencialmente a información sensible. Según un aviso publicado por los mantenedores del proyecto, la función `load_image()` dentro de `lmdeploy/vl/utils.py` recupera URLs arbitrarias sin una validación adecuada de direcciones IP internas/privadas. Esta omisión permite a los atacantes acceder a servicios de metadatos en la nube, redes internas y otros recursos sensibles. La vulnerabilidad afecta a todas las versiones de la herramienta (0.12.0 y anteriores) que incluyen soporte de visión y lenguaje. **Igor Stepansky**, investigador de **Orca Security**, es reconocido por descubrir y reportar la vulnerabilidad. ### Impacto Potencial La explotación exitosa de **CVE-2026-33626** podría permitir a los atacantes: * Robar credenciales en la nube. * Acceder a servicios internos no expuestos a Internet. * Realizar escaneos de puertos de redes internas. * Establecer oportunidades de movimiento lateral dentro del entorno comprometido. ### Explotación Rápida Detectada **Sysdig**, una firma de seguridad en la nube, reportó haber detectado el primer intento de explotación contra sus sistemas honeypot apenas 12 horas y 31 minutos después de la publicación de la vulnerabilidad en **GitHub**. El ataque se originó desde la dirección IP 103.116.72[.]119. "El atacante no se limitó a validar el error y seguir adelante. En cambio, durante una única sesión de ocho minutos, utilizó el cargador de imágenes de visión-lenguaje como una primitiva SSRF HTTP genérica para escanear puertos de la red interna detrás del servidor del modelo: AWS Instance Metadata Service (IMDS), Redis, MySQL, una interfaz administrativa HTTP secundaria y un endpoint de exfiltración DNS fuera de banda (OOB)", afirmó **Sysdig** en su análisis. Las acciones del atacante, observadas el 22 de abril de 2026, a las 03:35 a.m. UTC, involucraron 10 solicitudes distintas a lo largo de tres fases. El atacante alternó entre modelos de visión-lenguaje (VLM) como `internlm-xcomposer2` y `OpenGVLab/InternVL2-8B`, probablemente para evadir la detección. El ataque incluyó: * Ataques a instancias de IMDS de **AWS** y **Redis** en el servidor. * Pruebas de egreso con una llamada de retorno DNS fuera de banda (OOB) a `requestrepo[.]com` para confirmar que la vulnerabilidad SSRF podía alcanzar hosts externos arbitrarios, seguido de la enumeración de la superficie de la API. * Escaneo de puertos de la interfaz de loopback ("127.0.0[.]1"). ### Lecciones Aprendidas Este incidente resalta la importancia de parchear las vulnerabilidades de manera oportuna, incluso cuando los exploits de prueba de concepto (PoC) aún no están disponibles públicamente. Los actores de amenazas monitorean activamente las divulgaciones de vulnerabilidades y las utilizan rápidamente como armas. "CVE-2026-33626 encaja en un patrón que hemos observado repetidamente en el espacio de la infraestructura de IA durante los últimos seis meses: las vulnerabilidades críticas en servidores de inferencia, gateways de modelos y herramientas de orquestación de agentes están siendo utilizadas como armas en cuestión de horas tras la publicación de un aviso, independientemente del tamaño o alcance de su base de instalación", señaló **Sysdig**. Además, enfatizaron que "la IA Generativa (GenAI) está acelerando este colapso. Un aviso tan específico como GHSA-6w67-hwm5-92mq, que incluye el archivo afectado, el nombre del parámetro, la explicación de la causa raíz y un ejemplo de código vulnerable, es efectivamente una entrada para que cualquier LLM comercial genere un posible exploit." ### Plugins de WordPress y Dispositivos Modbus Expuestos a Internet son el Objetivo Al mismo tiempo, los actores de amenazas están explotando activamente vulnerabilidades en dos plugins de **WordPress**: Ninja Forms – File Upload (**CVE-2026-0740**, puntuación CVSS: 9.8) y Breeze Cache (**CVE-2026-3844**, puntuación CVSS: 9.8). Estas vulnerabilidades permiten a los atacantes subir archivos arbitrarios a sitios vulnerables, lo que podría conducir a la ejecución de código arbitrario y la toma de control total del sistema.  Además, se ha identificado una campaña global que apunta a controladores lógicos programables (PLC) expuestos a Internet y habilitados para Modbus, desde septiembre hasta noviembre de 2025. Esta campaña abarcó 70 países y se dirigió a 14.426 direcciones IP distintas, ubicadas principalmente en EE. UU., Francia, Japón, Canadá e India. Algunas de las solicitudes de origen se geolocalizaron en China. "La actividad combinó sondeos automatizados a gran escala con patrones más selectivos que sugieren un escaneo más profundo de los dispositivos, intentos de interrupción y posibles rutas de manipulación cuando los PLC son accesibles desde Internet", informaron los investigadores de **Cato Networks**. "Muchas IPs de origen tenían puntuaciones de reputación pública bajas o nulas, lo que concuerda con hosts de escaneo nuevos o rotatorios."