LiteLLM (AI Gateway/proxy server) w wersjach od 1.81.16 do przed 1.83.7 zawiera krytyczną podatność SQL injection w mechanizmie weryfikacji kluczy API. Nieuwierzytelniony atakujący może odczytać lub zmodyfikować dane w bazie proxy, uzyskując nieautoryzowany dostęp do poświadczeń zarządzanych przez bramę AI.
▸ Pokaż oryginał (EN)
LiteLLM is a proxy server (AI Gateway) to call LLM APIs in OpenAI (or native) format. From version 1.81.16 to before version 1.83.7, a database query used during proxy API key checks mixed the caller-supplied key value into the query text instead of passing it as a separate parameter. An unauthenticated attacker could send a specially crafted Authorization header to any LLM API route (for example POST /chat/completions) and reach this query through the proxy's error-handling path. An attacker could read data from the proxy's database and may be able to modify it, leading to unauthorised access to the proxy and the credentials it manages. This issue has been patched in version 1.83.7.
Zapytanie bazodanowe używane podczas sprawdzania kluczy API proxy bezpośrednio osadzało wartość klucza dostarczoną przez wywołującego w treści zapytania SQL, zamiast przekazywać ją jako osobny, sparametryzowany parametr. Atakujący mógł wysłać spreparowany nagłówek Authorization do dowolnej trasy LLM API (np. POST /chat/completions), a złośliwy payload docierał do podatnego zapytania przez ścieżkę obsługi błędów proxy. Brak separacji danych wejściowych od kodu SQL (CWE-89) pozwalał na manipulację logiką zapytania i obejście uwierzytelnienia (Auth Bypass).
Atakujący może odczytać zawartość bazy danych proxy — w tym przechowywane klucze API i inne poświadczenia do modeli LLM — oraz potencjalnie modyfikować dane, co prowadzi do nieautoryzowanego dostępu do bramy i wszystkich zasobów przez nią zarządzanych.
Należy niezwłocznie zaktualizować LiteLLM do wersji 1.83.7 lub nowszej. Patch dostępny jest w oficjalnym repozytorium GitHub: https://github.com/BerriAI/litellm/releases/tag/v1.83.7-stable
LiteLLM (BerriAI) w wersjach od 1.81.16 do przed 1.83.7
Podatność jest aktywnie exploitowana — figuruje w katalogu CISA Known Exploited Vulnerabilities. Podatność dotyczy instancji LiteLLM dostępnych przez sieć bez wymogu uwierzytelnienia (PR:N, UI:N), co znacząco zwiększa ryzyko ekspozycji w środowiskach produkcyjnych. Szczegóły opublikowano w security advisory GHSA-r75f-5x8p-qvmc.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XLitellm
APPLitellm1.81.16 – 1.83.7 (bez)
CISA KEV — szczegółyi
- Dostawcai
- BerriAI
- Produkti
- LiteLLM
- Data dodania do KEVi
- 8 maja 2026
- Termin remediation (USA)i
- 11 maja 2026(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z odpowiednimi wytycznymi BOD 22-01 dla usług chmurowych lub wstrzymaj użytkowanie produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
BerriAI LiteLLM zawiera podatność SQL injection, która pozwala atakującemu odczytywać dane z bazy danych proxy oraz potencjalnie je modyfikować, co prowadzi do nieautoryzowanego dostępu do proxy i zarządzanych przez niego poświadczeń.
▸ Pokaż oryginał (EN)
BerriAI LiteLLM contains a SQL injection vulnerability that allows an attacker to read data from the proxy's database and potentially modify it, leading to unauthorized access to the proxy and the credentials it manages.
Powiązane podatności
Atak supply chain na Trivy — złośliwe tagi GitHub Actions i obraz kontenera
Krytyczna podatność w LiteLLM (AI Gateway) — obejście uwierzytelniania
LiteLLM: pominięcie uwierzytelnienia JWT przez kolizję klucza cache (Auth Bypass)
RCE w BerriAI/litellm poprzez endpoint /config/update
BerriAI LiteLLM – SSTI via Jinja umożliwia RCE przez endpoint /completions