Podatność w bibliotece litellm (wersja v1.35.8) umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie kodu (RCE) na serwerze. Wynika to z niebezpiecznego przetwarzania zmiennych środowiskowych dostarczanych przez atakującego poprzez endpoint API.
▸ Pokaż oryginał (EN)
BerriAI/litellm version v1.35.8 contains a vulnerability where an attacker can achieve remote code execution. The vulnerability exists in the `add_deployment` function, which decodes and decrypts environment variables from base64 and assigns them to `os.environ`. An attacker can exploit this by sending a malicious payload to the `/config/update` endpoint, which is then processed and executed by the server when the `get_secret` function is triggered. This requires the server to use Google KMS and a database to store a model.
Funkcja `add_deployment` dekoduje dane zakodowane w base64 i odszyfrowuje zmienne środowiskowe, a następnie przypisuje je bezpośrednio do `os.environ`. Atakujący może wysłać złośliwy payload do endpointu `/config/update`, który zostaje zapisany i przetworzony przez serwer. Gdy następnie wywoływana jest funkcja `get_secret`, serwer wykonuje dane dostarczone przez atakującego jako kod. Exploit wymaga, aby serwer korzystał z Google KMS oraz bazy danych do przechowywania konfiguracji modelu.
Atakujący może uzyskać pełną kontrolę nad serwerem poprzez zdalne wykonanie dowolnego kodu, co może prowadzić do naruszenia poufności, integralności oraz dostępności systemu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo, do czasu aktualizacji, zaleca się ograniczenie dostępu do endpointu `/config/update` wyłącznie do zaufanych, uwierzytelnionych użytkowników oraz wyłączenie konfiguracji z Google KMS jeśli nie jest niezbędna.
BerriAI/litellm w wersji v1.35.8, gdy serwer skonfigurowany jest z Google KMS oraz bazą danych do przechowywania modeli
Podatność została zgłoszona za pośrednictwem platformy huntr.com. Eksploatacja wymaga specyficznej konfiguracji serwera (Google KMS + baza danych), co ogranicza zasięg zagrożenia mimo maksymalnego wektora CVSS.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HLitellm
APPLitellm1.35.8
Powiązane podatności
SQL Injection w LiteLLM umożliwia nieautoryzowany dostęp do bazy danych
Atak supply chain na Trivy — złośliwe tagi GitHub Actions i obraz kontenera
Krytyczna podatność w LiteLLM (AI Gateway) — obejście uwierzytelniania
LiteLLM: pominięcie uwierzytelnienia JWT przez kolizję klucza cache (Auth Bypass)
BerriAI LiteLLM – SSTI via Jinja umożliwia RCE przez endpoint /completions