LiteLLM

Die Schwachstelle steckt im KI-Gateway LiteLLM von BerriAI, einem Proxy-Server, der Anfragen an verschiedene LLM-Schnittstellen im OpenAI-Format weiterleitet. Ursache ist eine SQL-Injection: Bei der Prüfung von Proxy-API-Schlüsseln setzt eine Datenbankabfrage den vom Aufrufer übermittelten Schlüsselwert direkt in den Abfragetext ein, statt ihn als separaten Parameter zu übergeben. Ein Angreifer kann ohne vorherige Anmeldung einen präparierten Authorization-Header an eine beliebige LLM-API-Route senden – etwa an die Route zum Erstellen von Chat-Antworten. Über den Fehlerbehandlungspfad des Proxys erreicht die manipulierte Eingabe dann die anfällige Abfrage. Dadurch kann der Angreifer Daten aus der Proxy-Datenbank auslesen und unter Umständen auch verändern. Das führt zu unbefugtem Zugriff auf den Proxy und auf die von ihm verwalteten Zugangsdaten – also auf die hinterlegten Schlüssel zu den angebundenen LLM-Diensten.