CVE-2024-6587— LiteLLM 代码问题漏洞
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2024-6587の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
SSRF in berriai/litellm
ソース: NVD (National Vulnerability Database)
脆弱性説明
A Server-Side Request Forgery (SSRF) vulnerability exists in berriai/litellm version 1.38.10. This vulnerability allows users to specify the `api_base` parameter when making requests to `POST /chat/completions`, causing the application to send the request to the domain specified by `api_base`. This request includes the OpenAI API key. A malicious user can set the `api_base` to their own domain and intercept the OpenAI API key, leading to unauthorized access and potential misuse of the API key.
ソース: NVD (National Vulnerability Database)
CVSS情報
N/A
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
服务端请求伪造(SSRF)
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
LiteLLM 代码问题漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
LiteLLM是LiteLLM开源的一个应用程序。可以使用 OpenAI 格式调用所有 LLM API。 LiteLLM 1.38.10版本存在代码问题漏洞,该漏洞源于容易受到服务端请求伪造攻击,用户在发送请求时可以指定参数,导致应用程序将请求发送到由指定的域名,从而可能引发未经授权的访问和API密钥的潜在滥用。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
| ベンダー | プロダクト | 影響を受けるバージョン | CPE | 購読 |
|---|---|---|---|---|
| berriai | berriai/litellm | unspecified ~ 1.44.9 | - |
II. CVE-2024-6587の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|---|---|---|
| 1 | LiteLLM vulnerable to Server-Side Request Forgery (SSRF) vulnerability Exposes OpenAI API Keys. | https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2024/CVE-2024-6587.yaml | POC詳細 |
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2024-6587のインテリジェンス情報
请登录查看更多情报信息。
IV. 関連脆弱性
同じ製品: berriai/litellm
同じベンダー: berriai
- CVE-2026-42208
LiteLLM: SQL injection in Proxy API key verification - CVE-2026-42203
LiteLLM: Server-Side Template Injection in /prompts/test end - CVE-2026-42271
LiteLLM: Authenticated command execution via MCP stdio test - CVE-2026-40217
LiteLLM 安全漏洞 - CVE-2026-35030
LiteLLM has an authentication bypass via OIDC userinfo cache
同じ弱点: CWE-918
- CVE-2026-8193
Akaunting Invoice PDF Rendering dompdf.php server-side reque - CVE-2026-44313
LinkWarden: Server-Side Request Forgery (SSRF) in Link Creat - CVE-2026-42352
pygeoapi 0.23.x: Unauthenticated SSRF via OGC API - Processe - CVE-2026-42346
Postiz: TOCTOU DNS rebinding bypasses all SSRF URL validatio - CVE-2026-42339
New API: SSRF Filter Bypass via 0.0.0.0
V. CVE-2024-6587へのコメント
まだコメントはありません