LMDeploy の SSRF 脆弱性:アドバイザリ公開から 12 時間半で実環境での悪用が発生

Attackers Exploit LMDeploy Flaw in the Wild Within 12 Hours of Advisory

2026/04/23 gbhackers — LMDeploy のビジョン言語モジュールに存在する、深刻なサーバサイド・リクエスト・フォージェリ (SSRF) の脆弱性が、情報公開からわずか 12時間 30分後に実環境攻撃で悪用されるという事実が確認された。つまり、PoC コードに依存することなく、この攻撃は実行された。2026年4月21日に GitHub は、セキュリティ・アドバイザリ GHSA-6w67-hwm5-92mq で脆弱性を公開し、その後に CVE-2026-33626 (CVSS:7.5:High) が割り当てられた。

Shanghai AI Laboratory (InternLM) が開発した、ビジョン言語およびテキスト大規模言語モデル (LLM) を提供するオープンソース・ツールキット LMDeploy に、この脆弱性は影響を及ぼす。

この脆弱性は、”lmdeploy/vl/utils.py” 内の load_image() 関数に起因する。この関数は、API リクエストから渡された画像 URL を取得するが、内部/プライベート・ネットワークアドレスへの参照に対する検証が欠落していた。この欠陥を突く攻撃者は、チャット補完リクエストを送信し、クラウド・メタデータ・サービスやローカル・データベースなどの内部 URL をサーバに取得させ、その内容をレスポンスとして返させることが可能となる。

最初の悪用まで 12時間 30分

Sysdig Threat Research Team (TRT) は、今回のアドバイザリが公開された直後に、脆弱な LMDeploy インスタンスを用いるハニーポットを展開した。その結果、2026年4月22日 03:35 (UTC) に、香港九龍の Prime Security Corp に帰属する IP “103.116.72.119” からの、最初の攻撃が観測された。

その時点で PoC は公開されていなかったが、アドバイザリに明示されていた、影響ファイル/脆弱パラメータ/検証不備を悪用することで、動作するエクスプロイトの構築が可能であった。

攻撃者は 8 分間の単一セッション内で、3 つのフェーズに分けられた 10 件のリクエストを実行した。

  • フェーズ 1 — クラウドメタデータおよび Redis 調査:AWS Instance Metadata Service (IMDS) “169.254.169.254” を標的に IAM 認証情報を取得し、その後に “127.0.0.1:6379” の Redis ポート開放を確認する。
  • フェーズ 2 — アウト・オブ・バンド (OOB) 確認:”cw2mhnbd.requestrepo.com” (OAST サービス) への DNS コールバックにより、アウトバウンド通信が制限されていないことを確認し、ブラインド SSRF を検証する。
  • フェーズ 3 — 管理プレーンおよびローカルポート・スキャン:認証不要エンドポイント “/distserve/p2p_drop_connect” をプローブし、 LMDeploy 内部の ZMQ 推論ルーティングへの影響を試行した後の 36 秒以内に、ループバック・ポート 8080 (HTTP)/3306 (MySQL)/80 をスキャンする。

脆弱性 CVE-2026-33626 は、危険な傾向を示すものだ。 LMDeploy のような AI 推論サーバは、広範な IAM ロールを持つ GPU クラウド・インスタンス上で実行されることが多く、 S3 のモデルアーティファクトやトレーニング・データセットへのアクセスや、場合によってはクロスアカウント権限へのアクセスも可能となる。

LMDeploy は GitHub 上で約 7,800 スターを持つが、 CISA の Known Exploited Vulnerabilities (KEV) カタログには含まれておらず、従来のエンタープライズ脆弱性スキャンで AI インフラ・ツールが見落とされる可能性を示している。

対応策

この脆弱性に対処するために、ユーザーに対して強く推奨されるのは、LMDeploy v0.12.3 以降へと直ちにアップグレードすることである。このバージョンでは、_is_safe_url() チェックが導入され、プライベート IP 範囲およびリンク・ローカルアドレスへのリクエストが遮断される。

さらに、以下の対策を実施することが推奨される。

  • 推論 API の前段にリバースプロキシを配置し、内部 URL の削除または書き換えを行う。
  • GPU インスタンスに対して、厳格なアウトバウンド・ファイアウォール・ルールを適用する。
  • vLLM/TGI/Ray Serve/LMDeploy などの、すべての AI 提供ツールを正式な CVE スキャン・プログラムに組み込む。

訳者後書:この脆弱性 CVE-2026-33626 は、画像を取得する際の入力チェックが不十分だったことに原因があります。具体的には、外部から指定された URL が、内部ネットワークを指していないことを確認する仕組みが load_image() 関数に実装されておらず、 SSRF 攻撃を許す状況にありました。この不備により、本来は外部から見えないはずの、クラウド設定情報やデータベースへのアクセスが引き起こされます。アドバイザリで修正箇所が特定されると、攻撃コードが公開されていなくても、脅威アクターたちのヒントになってしまうことがあります。ご利用のチームは、ご注意ください。