LiteLLM w wersjach przed 1.84.0 zawiera krytyczną podatność sklasyfikowaną jako CWE-290 (Authentication Bypass by Spoofing). Ze względu na ocenę CVSS 9.5 i możliwość zdalnego wykorzystania bez uwierzytelnienia, stanowi poważne zagrożenie dla środowisk korzystających z tego proxy dla modeli AI.
▸ Pokaż oryginał (EN)
LiteLLM is a proxy server (AI Gateway) to call LLM APIs in OpenAI (or native) format. Prior to 1.84.0, This vulnerability is fixed in 1.84.0.
Podatność dotyczy mechanizmu uwierzytelniania w serwerze proxy LiteLLM (AI Gateway), który służy do przekazywania zapytań do różnych interfejsów API modeli językowych (LLM). Zgodnie z klasyfikacją CWE-290, atakujący może obejść weryfikację tożsamości poprzez spoofing — podszywanie się pod zaufany podmiot. Wektor ataku jest sieciowy (AV:N), nie wymaga interakcji użytkownika ani uprawnień (PR:N, UI:N), a skutki obejmują wysoki wpływ na poufność, integralność i dostępność zarówno komponentu głównego, jak i systemów powiązanych.
Nieuwierzytelniony, zdalny atakujący może uzyskać nieautoryzowany dostęp do serwera proxy LiteLLM, co może prowadzić do przejęcia kontroli nad konfiguracją, wycieku danych przesyłanych do modeli AI oraz zakłócenia dostępności usługi, a także potencjalnego wpływu na systemy powiązane (SC:H, SI:H, SA:H).
Należy niezwłocznie zaktualizować LiteLLM do wersji 1.84.0 lub nowszej. Patch dostępny jest w oficjalnym repozytorium GitHub pod adresem: https://github.com/BerriAI/litellm/releases/tag/v1.84.0
LiteLLM (BerriAI) we wszystkich wersjach przed 1.84.0
Opis oryginalny CVE jest bardzo skąpy i nie zawiera szczegółowego opisu mechanizmu podatności. Szczegóły techniczne mogą być dostępne w GitHub Security Advisory GHSA-4xpc-pv4p-pm3w. Podatność nie figuruje w katalogu CISA KEV.
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XLitellm
APPLitellm< 1.84.0
Powiązane podatności
SQL Injection w LiteLLM umożliwia nieautoryzowany dostęp do bazy danych
Atak supply chain na Trivy — złośliwe tagi GitHub Actions i obraz kontenera
LiteLLM: pominięcie uwierzytelnienia JWT przez kolizję klucza cache (Auth Bypass)
RCE w BerriAI/litellm poprzez endpoint /config/update
BerriAI LiteLLM – SSTI via Jinja umożliwia RCE przez endpoint /completions