Cve-2026-33626

Cette page présente les vulnérabilités les plus discutées sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la période analysée. Période analysée : 2026-04-19 → 2026-04-26. Les données sont collectées via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider à la priorisation de la veille et de la remédiation. 📌 Légende : CVSS : score officiel de sévérité technique. EPSS : probabilité d’exploitation observée. VLAI : estimation de sévérité basée sur une analyse IA du contenu de la vulnérabilité. CISA KEV : vulnérabilité activement exploitée selon la CISA. seen / exploited : signaux observés dans les sources publiques. CVE-2026-40372 CVSS: 9.1 EPSS: 0.03% VLAI: Critical (confidence: 0.6678) ProduitMicrosoft — ASP.NET Core 10.0 Publié2026-04-21T19:20:50.215Z Improper verification of cryptographic signature in ASP.NET Core allows an unauthorized attacker to elevate privileges over a network. ...

🗓️ Contexte Le 22 avril 2026, la Sysdig Threat Research Team (TRT) publie une analyse d’incident documentant l’exploitation de CVE-2026-33626, une vulnérabilité Server-Side Request Forgery (SSRF) affectant LMDeploy, un toolkit d’inférence pour modèles de langage vision-language (VLM) développé par Shanghai AI Laboratory / InternLM. 🔍 Vulnérabilité La faille réside dans le traitement du champ image_url lors des requêtes de complétion de chat. Le serveur déréférence l’URL fournie sans vérification de résolution de nom d’hôte, sans liste de blocage des adresses privées, ni protection des adresses link-local. Tout schéma http:// ou https:// est accepté, y compris http://169.254.169.254/, http://127.0.0.1:3306 ou toute adresse RFC 1918. ...