BerriAI LiteLLM zawiera podatność Server-Side Template Injection (SSTI) w endpoincie `/completions`, pozwalającą nieuwierzytelnionemu atakującemu na zdalne wykonanie kodu na serwerze. Podatność posiada krytyczny wynik CVSS 9.8, co czyni ją zagrożeniem najwyższego priorytetu.
▸ Pokaż oryginał (EN)
BerriAI/litellm is vulnerable to Server-Side Template Injection (SSTI) via the `/completions` endpoint. The vulnerability arises from the `hf_chat_template` method processing the `chat_template` parameter from the `tokenizer_config.json` file through the Jinja template engine without proper sanitization. Attackers can exploit this by crafting malicious `tokenizer_config.json` files that execute arbitrary code on the server.
Metoda `hf_chat_template` przetwarza parametr `chat_template` odczytany z pliku `tokenizer_config.json` bezpośrednio przez silnik szablonów Jinja2 bez odpowiedniej sanityzacji danych wejściowych. Atakujący może spreparować złośliwy plik `tokenizer_config.json` zawierający dyrektywy szablonu Jinja2, które zostaną wykonane po stronie serwera. Brak jakichkolwiek wymagań uwierzytelnienia (PR:N, UI:N) sprawia, że exploit można przeprowadzić zdalnie przez sieć bez interakcji użytkownika.
Skuteczna eksploatacja umożliwia atakującemu pełne zdalne wykonanie dowolnego kodu na serwerze (RCE), co może prowadzić do całkowitego przejęcia kontroli nad hostem, kradzieży danych, naruszenia poufności i integralności środowiska.
Należy zaktualizować LiteLLM do wersji zawierającej commit 8a1cdc901708b07b7ff4eca20f9cb0f1f0e8d0b3 lub nowszej, dostępny w repozytorium GitHub projektu BerriAI. Do czasu wdrożenia patcha zaleca się ograniczenie dostępu sieciowego do endpointu `/completions` oraz restrykcyjną kontrolę źródeł plików `tokenizer_config.json` przetwarzanych przez serwis.
Produkt BerriAI LiteLLM — wersje wskazane w referencjach producenta (commit naprawczy: 8a1cdc901708b07b7ff4eca20f9cb0f1f0e8d0b3).
Szczegóły podatności zostały ujawnione w ramach programu bug bounty na platformie huntr.com (bounty ID: a9e0a164-6de0-43a4-a640-0cbfb54220a4).
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HLitellm
APPLitellm< 1.34.42
Powiązane podatności
SQL Injection w LiteLLM umożliwia nieautoryzowany dostęp do bazy danych
Atak supply chain na Trivy — złośliwe tagi GitHub Actions i obraz kontenera
Krytyczna podatność w LiteLLM (AI Gateway) — obejście uwierzytelniania
LiteLLM: pominięcie uwierzytelnienia JWT przez kolizję klucza cache (Auth Bypass)
RCE w BerriAI/litellm poprzez endpoint /config/update