В фреймворке LiteLLM, используемом для организации прокси-доступа к языковым моделям (LLM), обнаружена критическая уязвимость, идентифицированная как CVE-2026-49468. Проблема классифицирована в базе данных GitHub Advisory Database под кодом GHSA-4xpc-pv4p-pm3w и затрагивает все версии LiteLLM до 1.84.0. Уязвимости присвоен критический уровень опасности из-за потенциального воздействия на конфиденциальность, целостность и доступность систем.
Уязвимость CVE-2026-49468
Суть проблемы заключается в некорректной валидации маршрутизации запросов в слое аутентификации прокси LiteLLM. Конкретная ошибка находится в функции "get_request_route()", расположенной в файле "litellm/proxy/auth/auth_utils.py". В этой функции приложение определяет фактический путь запроса, используя "request.url.path". В приложениях на базе Starlette такой путь может быть пересобран с помощью заголовка "Host", передаваемого клиентом. Это создаёт расхождение между маршрутом, который проверяет слой аутентификации, и маршрутом, который фактически обрабатывает FastAPI.
Злоумышленник может сформировать поддельный заголовок "Host", чтобы обмануть механизм аутентификации и получить доступ к защищённым управляющим конечным точкам. Уязвимость относится к категории CWE-290 (обход аутентификации путём подмены), что подчёркивает риски, связанные с доверием к данным, контролируемым пользователем, в том числе к HTTP-заголовкам.
Эксплуатация уязвимости не требует аутентификации (вектор PR:N) и не предполагает взаимодействия с пользователем (UI:N). Сетевой вектор атаки (AV:N) и низкая сложность эксплуатации (AC:L) делают её особенно опасной в средах, доступных из внешних сетей. При этом уязвимость может быть использована удалённо при определённых условиях развёртывания.
Несмотря на критический рейтинг, не все инсталляции LiteLLM подвержены риску. Среды, которые используют upstream-защиту - сети доставки контента (CDN), межсетевые экраны для веб-приложений (WAF), обратные прокси со строгой валидацией "server_name" или балансировщики нагрузки на основе имени хоста - естественным образом устойчивы к такой атаке. Эти компоненты обычно нормализуют или проверяют входящие заголовки "Host", предотвращая вредоносные манипуляции до того, как запросы достигнут прокси LiteLLM. Кроме того, клиенты LiteLLM Cloud, как подтверждено, не затронуты.
Патч, устраняющий уязвимость, включён в версию LiteLLM 1.84.0. Пользователям настоятельно рекомендуется немедленно выполнить обновление. Исправление не требует дополнительных изменений конфигурации, что упрощает процедуру восстановления безопасности. Для организаций, которые не могут оперативно установить обновление, предлагаются следующие меры смягчения: развёртывание прокси LiteLLM за доверенной upstream-инфраструктурой, обеспечивающей строгую проверку заголовка "Host", или ограничение сетевого доступа к прокси-сервису для снижения экспозиции.
Исследователи безопасности Ле Тхе Тханг из KCSC и Ким Нгок Чунг из One Mount Group выявили и ответственно сообщили о данной проблеме. Их работа подчёркивает сохраняющиеся риски, связанные с несогласованностью обработки запросов в разных веб-фреймворках, и важность проверки всех заголовков, поступающих от клиента.
Учитывая растущее распространение LiteLLM в развёртываниях, связанных с искусственным интеллектом и прокси для LLM, эта уязвимость служит критическим напоминанием для разработчиков и DevOps-команд о необходимости внедрять строгую валидацию входных данных и применять многоуровневые средства защиты, особенно при размещении прокси-сервисов в ненадёжных сетях. Текущий статус исправления предполагает, что все пользователи уязвимых версий должны обновиться до 1.84.0, иначе их системы остаются под угрозой удалённого обхода аутентификации и несанкционированного доступа к управляющим интерфейсам.
Ссылки
