Litellm
Уязвимости
23
Эксплуатируемые
2
Макс. CVSS
9.9
Макс. EPSS
0.93107
Распределение по критичности
Критический
6
Высокий
14
Средний
3
Низкий
0
Затронутые диапазоны версий
1.74.2–1.83.71.80.5–1.83.71.81.16–1.83.71.82.7–1.83.0< 1.34.42< 1.35.19< 1.44.12< 1.44.16< 1.65.4< 1.83.0< 1.83.10< 1.83.14≤ 1.40.2≤ 2026-04-08
Также сопоставлено как (исходные строки): litellm
Топ уязвимостей
BDU:2026-03951Уязвимость сканера уязвимостей Trivy связана с наличием опасных недекларированных возможностей. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации
CVE-2024-5751BerriAI/litellm версии v1.35.8 содержит уязвимость, при которой злоумышленник может добиться удаленного выполнения кода. Уязвимость существует в функции `add_deployment`, которая декодирует и расшифровывает переменные среды из base64 и присваивает их `os.environ`. Злоумышленник может использовать это, отправив вредоносную полезную нагрузку в конечную точку `/config/update`, которая затем обрабатывается и выполняется сервером при срабатывании функции `get_secret`. Для этого требуется, чтобы сервер использовал Google KMS и базу данных для хранения модели.
CVE-2024-2952BerriAI/litellm уязвим для Server-Side Template Injection (SSTI) через endpoint `/completions`. Уязвимость возникает из-за метода `hf_chat_template`, обрабатывающего параметр `chat_template` из файла `tokenizer_config.json` через механизм шаблонов Jinja без надлежащей очистки. Злоумышленники могут воспользоваться этим, создавая вредоносные файлы `tokenizer_config.json`, которые выполняют произвольный код на сервере.
CVE-2026-35030LiteLLM - это прокси-сервер (AI Gateway) для вызова LLM API в формате OpenAI (или родного). До 1.83.0, когда включена аутентификация JWT (aable_jwt_auth: true), кэш пользователя OIDC userinfo использует токен[:20] в качестве кэш-ключа. Заголовки JWT, создаваемые тем же алгоритмом подписи, генерируют идентичные первые 20 символов. Эта опция конфигурации не включена по умолчанию. Большинство случаев не затрагиваются. Неаутентифицированный злоумышленник может создать токен, чьи первые 20 символов соответствуют кэшированному токену законного пользователя. При кэш-наезде злоумышленник наследует личность и разрешения законного пользователя. Это влияет на развертывание с включенной аутентификацией JWT/OIDC. Исправлено в v1.83.0.
CVE-2026-33634Выполнение произвольного кода в Aqua Security Trivy
CVE-2026-42208LiteLLM - это прокси-сервер (AI Gateway), который вызывает LLM API в формате OpenAI (или родным). От версии 1.81.16 до версии 1.83.7, запрос базы данных, используемый во время проверок ключа прокси API, смешал значение ключей, поставляемое вызывающим абонентом, в текст запроса вместо того, чтобы передавать его в виде отдельного параметра. Неаутентифицированный злоумышленник может отправить специально созданный заголовок Авторизации на любой маршрут LLM API (например, POST /chat/completions) и достичь этого запроса через путь обработки ошибок прокси. Злоумышленник может считывал данные из базы данных прокси и мог изменять их, что приводит к несанкционированному доступу к прокси-серверу и учетным данным, которым он управляет. Этот вопрос был исправлен в версии 1.83.7.
CVE-2026-40217LiteLLM до 2026-04-08 позволяет удаленным злоумышленникам выполнять произвольный код с помощью переписывания кода на /guardrails/test_custom_code URI.
CVE-2024-6825Версия 1.40.12 BerriAI/litellm содержит уязвимость, позволяющую удаленное выполнение кода. Проблема существует в обработке конфигурации 'post_call_rules', где можно добавить функцию обратного вызова. Указанное значение делится на последней '.' отметке, при этом последняя часть считается именем функции, а оставшаяся часть добавляется с расширением '.py' и импортируется. Это позволяет атакующему установить системный метод, такой как 'os.system', в качестве обратного вызова, что позволяет выполнять произвольные команды при обработке ответа чата.
CVE-2026-47102LiteLLM до 1.83.10 позволяет пользователю изменять свой собственный user_rle через конечную точку /user/update. Хотя конечная точка правильно ограничивает пользователей обновлением только их собственной учетной записи, она не ограничивает, какие поля могут быть изменены. Пользователь, который может достичь этой конечной точки, может установить свою роль на proxy_admin, получая полный административный доступ к LiteLLM, включая всех пользователей, команды, ключи, модели и историю подсказок. Пользователи с ролью org_admin имеют законный доступ к этой конечной точке и могут использовать эту уязвимость без каких-либо дополнительных недостатков.
CVE-2026-47101LiteLLM до 1.83.14 позволяет аутентифицированному внутреннему пользователю создавать API-ключи с доступом к маршрутам, которые их роль не позволяет. При генерации ключа поле разрешенных маршрутов хранится без проверки того, что указанные маршруты попадают в собственные разрешения пользователя. Ключ, созданный с доступом к маршрутам только для администратора, может затем использоваться для успешного достижения этих маршрутов, минуя элементы управления доступом на основе ролевых, которые в противном случае заблокировали бы запрос, что позволило бы полностью перерасти в привилегии от inin_user до proxy_admin.
CVE-2026-42271LiteLLM - это прокси-сервер (AI Gateway), который вызывает LLM API в формате OpenAI (или родном). От версии 1.74.2 до версии 1.83.7 две конечные точки, используемые для предварительного просмотра MCP-сервера перед его сохранением — POST /mcp-rest/test/test/connection и POST /mcp-rest/test/tools/list — приняли полную конфигурацию сервера в органе запроса, включая команду, арыки и поля энва, используемые на стрим-транспорте. При вызове с конфигурацией стило, конечные точки пытались подключиться, что породило поставленную команду в качестве подпроцесса на прокси-хосте с привилегиями прокси-процесса. Конечные точки были закрыты только действительным прокси-ключом API, без проверки роли. Таким образом, любой аутентифицированный пользователь, включая держателей низкопривилегированных ключей внутреннего пользователя, может запускать произвольные команды на хосте. Этот вопрос был исправлен в версии 1.83.7.
CVE-2026-35029LiteLLM - это прокси-сервер (AI Gateway) для вызова LLM API в формате OpenAI (или родного). До 1.83.0 конечная точка /config/update не обеспечивает авторизацию роли администратора. Пользователь, который уже аутентифицирован на платформе, может затем использовать эту конечную точку для изменения конфигураций прокси и переменных среды, регистрации пользовательской обработки конечных точек, указывающих на управляемый злоумышленником код Python, достижения удаленного выполнения кода, чтения произвольных серверных файлов путем установки UI_LOGO_PATH и получения через /get_image и захвата других привилегированных учетных записей путем перезаписи UI_USERNAME и UI_PASSWOR. Исправлено в v1.83.0.
CVE-2026-42203LiteLLM - это прокси-сервер (AI Gateway), который вызывает LLM API в формате OpenAI (или родном). От версии 1.80.5 до версии 1.83.7 POST/prompts/test endpoint принимал пользовательские шаблоны подсказок и отображал их без песочницы. Сформированный шаблон может запускать произвольный код внутри процесса LiteLLM Proxy. Конечная точка проверяет только то, что абонент представляет действительный ключ API-прокси, поэтому любой аутентифицированный пользователь может связаться с ним. В зависимости от того, как развернут прокси, это может раскрыть секреты в среде процесса (например, ключи API-адреса поставщика или учетные данные базы данных) и позволить выполнять команды на хосте. Этот вопрос был исправлен в версии 1.83.7.
CVE-2024-4888litellm от BerriAI в своей последней версии уязвим для произвольного удаления файлов из-за неправильной проверки ввода в конечной точке `/audio/transcriptions`. Злоумышленник может использовать эту уязвимость, отправив специально созданный запрос, который включает путь к файлу на сервер, который затем удаляет указанный файл без надлежащей авторизации или проверки. Эта уязвимость присутствует в коде, где `os.remove(file.filename)` используется для удаления файла, позволяя любому пользователю удалять критические файлы на сервере, такие как SSH-ключи, базы данных SQLite или файлы конфигурации.
CVE-2025-0330В версии berriai/litellm v1.52.1 проблема в proxy_server.py приводит к утечке API-ключей Langfuse, когда происходит ошибка при разборе настроек команды. Эта уязвимость раскрывает чувствительную информацию, включая langfuse_secret и langfuse_public_key, которые могут предоставить полный доступ к проекту Langfuse, хранящему все запросы.
CVE-2024-9606В berriai/litellm до версии 1.44.12 файл `litellm/litellm_core_utils/litellm_logging.py` содержит уязвимость, при которой код маскирования ключа API маскирует только первые 5 символов ключа. Это приводит к утечке почти всего ключа API в журналах, что делает значительную часть секретного ключа доступной. Проблема затрагивает версию v1.44.9.
CVE-2024-8984Уязвимость отказа в обслуживании (DoS) существует в berriai/litellm версии v1.44.5. Эта уязвимость может быть использована путем добавления символов, таких как дефисы (-), в конец многокомпонентной границы в HTTP-запросе. Сервер непрерывно обрабатывает каждый символ, что приводит к чрезмерному потреблению ресурсов и делает сервис недоступным. Проблема не требует аутентификации и не требует взаимодействия пользователя, затрагивая всех пользователей сервиса.
CVE-2024-6587Уязвимость Server-Side Request Forgery (SSRF) существует в berriai/litellm версии 1.38.10. Эта уязвимость позволяет пользователям указывать параметр `api_base` при отправке запросов к `POST /chat/completions`, заставляя приложение отправлять запрос в домен, указанный `api_base`. Этот запрос включает ключ OpenAI API. Злоумышленник может установить `api_base` на свой собственный домен и перехватить ключ OpenAI API, что приведет к несанкционированному доступу и потенциальному злоупотреблению ключом API.
CVE-2024-5225В репозитории berriai/litellm существует уязвимость SQL-инъекции, в частности, в конечной точке `/global/spend/logs`. Уязвимость возникает из-за неправильной нейтрализации специальных элементов, используемых в SQL-команде. Затронутый код создает SQL-запрос путем конкатенации непроверенного параметра `api_key` непосредственно в запрос, что делает его восприимчивым к SQL-инъекциям, если `api_key` содержит вредоносные данные. Эта проблема затрагивает последнюю версию репозитория. Успешная эксплуатация этой уязвимости может привести к несанкционированному доступу, манипулированию данными, раскрытию конфиденциальной информации и отказу в обслуживании (DoS).
CVE-2024-4889Уязвимость внедрения кода существует в приложении berriai/litellm, версии 1.34.6, из-за использования непроверенного ввода в функции eval в системе управления секретами. Для использования этой уязвимости требуется действительный файл конфигурации Google KMS. В частности, установив для переменной `UI_LOGO_PATH` адрес удаленного сервера в функции `get_image`, злоумышленник может записать вредоносный файл конфигурации Google KMS в файл `cached_logo.jpg`. Этот файл затем можно использовать для выполнения произвольного кода, назначив вредоносный код переменной среды `SAVE_CONFIG_TO_DB`, что приведет к полному контролю над системой. Уязвимость зависит от использования функции Google KMS.
CVE-2024-5710berriai/litellm версии 1.34.34 уязвим для ненадлежащего контроля доступа в своей функциональности управления командами. Эта уязвимость позволяет злоумышленникам выполнять несанкционированные действия, такие как создание, обновление, просмотр, удаление, блокировка и разблокировка любых команд, а также добавление или удаление любого члена в любую команду или из нее. Уязвимость возникает из-за недостаточных проверок контроля доступа в различных конечных точках управления командами, что позволяет злоумышленникам использовать эти функции без надлежащей авторизации.
CVE-2025-45809Уязвимость SQL Injection в BerriAI LiteLLM до 1.81.0 позволяет злоумышленникам выполнять произвольные команды с помощью параметра ключа до конечной точки API "/ключ/блок".
CVE-2024-4890Уязвимость blind SQL injection существует в приложении berriai/litellm, в частности, в процессе '/team/update'. Уязвимость возникает из-за неправильной обработки параметра 'user_id' в необработанном SQL-запросе, используемом для удаления пользователей. Злоумышленник может использовать эту уязвимость, внедрив вредоносные SQL-команды через параметр 'user_id', что приведет к потенциальному несанкционированному доступу к конфиденциальной информации, такой как ключи API, информация о пользователях и токены, хранящиеся в базе данных. Затронутая версия - 1.27.14.