CRITICAL🇬🇧 English

CVE-2024-5751

RCE w BerriAI/litellm poprzez endpoint /config/update

CVSS 9.8v3.1pub. 2024-06-27upd. 2024-11-21

Podatność w bibliotece litellm (wersja v1.35.8) umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie kodu (RCE) na serwerze. Wynika to z niebezpiecznego przetwarzania zmiennych środowiskowych dostarczanych przez atakującego poprzez endpoint API.

Pokaż oryginał (EN)

BerriAI/litellm version v1.35.8 contains a vulnerability where an attacker can achieve remote code execution. The vulnerability exists in the `add_deployment` function, which decodes and decrypts environment variables from base64 and assigns them to `os.environ`. An attacker can exploit this by sending a malicious payload to the `/config/update` endpoint, which is then processed and executed by the server when the `get_secret` function is triggered. This requires the server to use Google KMS and a database to store a model.

🤖 Analiza AI
Jak działa

Funkcja `add_deployment` dekoduje dane zakodowane w base64 i odszyfrowuje zmienne środowiskowe, a następnie przypisuje je bezpośrednio do `os.environ`. Atakujący może wysłać złośliwy payload do endpointu `/config/update`, który zostaje zapisany i przetworzony przez serwer. Gdy następnie wywoływana jest funkcja `get_secret`, serwer wykonuje dane dostarczone przez atakującego jako kod. Exploit wymaga, aby serwer korzystał z Google KMS oraz bazy danych do przechowywania konfiguracji modelu.

Skutki

Atakujący może uzyskać pełną kontrolę nad serwerem poprzez zdalne wykonanie dowolnego kodu, co może prowadzić do naruszenia poufności, integralności oraz dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo, do czasu aktualizacji, zaleca się ograniczenie dostępu do endpointu `/config/update` wyłącznie do zaufanych, uwierzytelnionych użytkowników oraz wyłączenie konfiguracji z Google KMS jeśli nie jest niezbędna.

Kogo dotyczy

BerriAI/litellm w wersji v1.35.8, gdy serwer skonfigurowany jest z Google KMS oraz bazą danych do przechowywania modeli

Uwagi

Podatność została zgłoszona za pośrednictwem platformy huntr.com. Eksploatacja wymaga specyficznej konfiguracji serwera (Google KMS + baza danych), co ogranicza zasięg zagrożenia mimo maksymalnego wektora CVSS.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Litellm

    APP
    Litellm
    1.35.8
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2026-42208CRITICAL9.3⚠ KEVPL ✓ten sam produkt

SQL Injection w LiteLLM umożliwia nieautoryzowany dostęp do bazy danych

CVE-2026-33634CRITICAL9.4⚠ KEVPL ✓ten sam produkt

Atak supply chain na Trivy — złośliwe tagi GitHub Actions i obraz kontenera

CVE-2026-49468CRITICAL9.5PL ✓ten sam produkt

Krytyczna podatność w LiteLLM (AI Gateway) — obejście uwierzytelniania

CVE-2026-35030CRITICAL9.4PL ✓ten sam produkt

LiteLLM: pominięcie uwierzytelnienia JWT przez kolizję klucza cache (Auth Bypass)

CVE-2024-2952CRITICAL9.8PL ✓ten sam produkt

BerriAI LiteLLM – SSTI via Jinja umożliwia RCE przez endpoint /completions