|
Уязвимость LiteLLM позволяет пользователям с низкими привилегиями захватывать серверы AI Gateway
https://blogger.googleusercontent.co...65/litellm.jpg
Исследователи компании Obsidian Security сообщили о цепочке уязвимостей в прокси-сервере LiteLLM, которая позволяет пользователям с низкими привилегиями получить полный доступ к администраторским функциям и выполнять код на сервере. LiteLLM является широко используемым открытым решением для AI Gateway, которое обеспечивает доступ к более чем 100 поставщикам моделей через единый интерфейс, совместимый с OpenAI. По словам экспертов, уязвимость заключается в том, что стандартная учетная запись с низкими привилегиями может использовать три различных уязвимости для повышения своих полномочий до уровня администратора. Это открывает возможность для злоумышленников не только захватывать серверы, но и получать доступ ко всем ключам поставщиков, которые хранятся на этих серверах. Захват серверов, работающих под управлением LiteLLM, может привести к утечке конфиденциальных данных и секретов, хранящихся в системе. Это представляет серьезную угрозу для компаний, которые полагаются на LiteLLM для обработки запросов к своим AI-моделям. Обсуждая последствия данной уязвимости, исследователи отметили, что такие инциденты могут негативно сказаться на репутации организаций, использующих LiteLLM, а также на доверии пользователей к их продуктам и сервисам. Специалисты настоятельно рекомендуют всем пользователям LiteLLM обновить свои системы и применить необходимые меры безопасности для защиты от потенциальных атак. Обновления и патчи, разработанные для устранения этих уязвимостей, должны быть внедрены как можно скорее. Кроме того, эксперты советуют предприятиям проводить регулярные аудиты безопасности своих систем и следить за новыми уязвимостями, чтобы минимизировать риски и предотвратить подобные инциденты в будущем. Источник новости: The Hacker News Читать полностью |
| Время: 22:16 |