PT-2024-37739 · Unknown · Berriai/Litellm
Publicado
2024-09-13
·
Atualizado
2025-03-14
·
CVE-2024-6587
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
berriai/litellm versão 1.38.10
Descrição
Existe uma vulnerabilidade do tipo Server-Side Request Forgery (SSRF), que permite aos usuários especificar o parâmetro
api base ao enviar solicitações para POST /chat/completions. Isso faz com que o aplicativo envie a solicitação para o domínio especificado por api base, que inclui a chave da API da OpenAI. Um usuário mal-intencionado pode definir api base para seu próprio domínio, interceptar a chave da API da OpenAI e obter acesso não autorizado, potencialmente fazendo uso indevido da chave da API.Recomendações
Para a versão 1.38.10, como solução temporária, considere restringir o acesso ao endpoint
POST /chat/completions ou desativar a capacidade de especificar o parâmetro api base até que um patch esteja disponível. Evite usar o parâmetro api base no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Berriai/Litellm