Что такое LiteLLM?
LiteLLM – это инструмент для интеграции моделей машинного обучения в приложения через простой интерфейс шлюза.
Обнаруженные проблемы безопасности
Недавно были выявлены три критические уязвимости в LiteLLM, каждая из которых получила оценку риска 9,9 по шкале CVSS:
Уязвимость №1: Повышение привилегий пользователя
Эта проблема позволяет обычному пользователю получить права администратора системы, что открывает доступ ко всем функциям управления шлюзом.
Уязвимость №2: SQL-инъекции
Вторая уязвимость связана с возможностью выполнения произвольных запросов к базе данных через специально сформированные запросы от пользователей. Это может привести к утечке конфиденциальной информации или изменению настроек системы.
Уязвимость №3: Межсайтовый скриптинг (XSS)
Третья уязвимость заключается в возможности внедрения вредоносного кода на страницы интерфейса LiteLLM. Атака может быть использована злоумышленниками для кражи сессионных токенов других пользователей.
Рекомендации по защите инфраструктуры
Чтобы минимизировать риски эксплуатации этих уязвимостей, рекомендуется выполнить следующие действия:
- Установить последние обновления безопасности для LiteLLM;
- Ограничить доступ к административному интерфейсу только доверенным пользователям;
- Использовать механизмы фильтрации входных данных для предотвращения инъекций SQL и межсайтового скрипинга;
- Регулярно проводить аудит безопасности своей инфраструктуры.