LiteLLM의 취약점으로 저Privilege 계정이 서버에 대한 완전한 제어권을 얻을 수 있다.
Obsidian Security의 연구자들은 LiteLLM 프록시에서 기본 저Privilege 계정이 세 가지 취약점을 연결하여 서버에 대한 완전한 관리자 권한을 얻을 수 있다고 밝혀냈다. LiteLLM은 OpenAI 호환 인터페이스 뒤에 100개 이상의 모델 제공업체에 대한 호출을 중개하는 널리 배포된 오픈 소스 AI 게이트웨이이다. 서버를 장악하면 모든 제공자 키와 비밀이 노출된다.
LiteLLM vulnerability allows low-privilege accounts to take full control of servers.
Researchers at Obsidian Security disclosed that a default low-privilege account on a LiteLLM proxy can escalate to full admin access by chaining three vulnerabilities. LiteLLM is a widely used open-source AI gateway that brokers calls to more than 100 model providers through one OpenAI-compatible interface. A takeover of the server exposes all provider keys and secrets it holds.