CRITICAL🇬🇧 English

CVE-2024-2952

BerriAI LiteLLM – SSTI via Jinja umożliwia RCE przez endpoint /completions

CVSS 9.8v3.0pub. 2024-04-10upd. 2025-07-15

BerriAI LiteLLM zawiera podatność Server-Side Template Injection (SSTI) w endpoincie `/completions`, pozwalającą nieuwierzytelnionemu atakującemu na zdalne wykonanie kodu na serwerze. Podatność posiada krytyczny wynik CVSS 9.8, co czyni ją zagrożeniem najwyższego priorytetu.

Pokaż oryginał (EN)

BerriAI/litellm is vulnerable to Server-Side Template Injection (SSTI) via the `/completions` endpoint. The vulnerability arises from the `hf_chat_template` method processing the `chat_template` parameter from the `tokenizer_config.json` file through the Jinja template engine without proper sanitization. Attackers can exploit this by crafting malicious `tokenizer_config.json` files that execute arbitrary code on the server.

🤖 Analiza AI
Jak działa

Metoda `hf_chat_template` przetwarza parametr `chat_template` odczytany z pliku `tokenizer_config.json` bezpośrednio przez silnik szablonów Jinja2 bez odpowiedniej sanityzacji danych wejściowych. Atakujący może spreparować złośliwy plik `tokenizer_config.json` zawierający dyrektywy szablonu Jinja2, które zostaną wykonane po stronie serwera. Brak jakichkolwiek wymagań uwierzytelnienia (PR:N, UI:N) sprawia, że exploit można przeprowadzić zdalnie przez sieć bez interakcji użytkownika.

Skutki

Skuteczna eksploatacja umożliwia atakującemu pełne zdalne wykonanie dowolnego kodu na serwerze (RCE), co może prowadzić do całkowitego przejęcia kontroli nad hostem, kradzieży danych, naruszenia poufności i integralności środowiska.

Mitygacja

Należy zaktualizować LiteLLM do wersji zawierającej commit 8a1cdc901708b07b7ff4eca20f9cb0f1f0e8d0b3 lub nowszej, dostępny w repozytorium GitHub projektu BerriAI. Do czasu wdrożenia patcha zaleca się ograniczenie dostępu sieciowego do endpointu `/completions` oraz restrykcyjną kontrolę źródeł plików `tokenizer_config.json` przetwarzanych przez serwis.

Kogo dotyczy

Produkt BerriAI LiteLLM — wersje wskazane w referencjach producenta (commit naprawczy: 8a1cdc901708b07b7ff4eca20f9cb0f1f0e8d0b3).

Uwagi

Szczegóły podatności zostały ujawnione w ramach programu bug bounty na platformie huntr.com (bounty ID: a9e0a164-6de0-43a4-a640-0cbfb54220a4).

CVSS Vector
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Litellm

    APP
    Litellm
    < 1.34.42
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2026-42208CRITICAL9.3⚠ KEVPL ✓ten sam produkt

SQL Injection w LiteLLM umożliwia nieautoryzowany dostęp do bazy danych

CVE-2026-33634CRITICAL9.4⚠ KEVPL ✓ten sam produkt

Atak supply chain na Trivy — złośliwe tagi GitHub Actions i obraz kontenera

CVE-2026-49468CRITICAL9.5PL ✓ten sam produkt

Krytyczna podatność w LiteLLM (AI Gateway) — obejście uwierzytelniania

CVE-2026-35030CRITICAL9.4PL ✓ten sam produkt

LiteLLM: pominięcie uwierzytelnienia JWT przez kolizję klucza cache (Auth Bypass)

CVE-2024-5751CRITICAL9.8PL ✓ten sam produkt

RCE w BerriAI/litellm poprzez endpoint /config/update