技術的な説明
LiteLLM は LLM API 呼び出し用の広く使用されているプロキシサーバー兼 AI ゲートウェイですが、プロキシ API キー検証ロジックに SQL インジェクション脆弱性が存在します。この脆弱性は、呼び出し元が提供する Authorization ヘッダー値がパラメータ化された値として渡されるのではなく、テキストとしてデータベースクエリに混在され、この脆弱なクエリがプロキシのエラーハンドリングパスを通じてアクセス可能であることに起因します。
攻撃経路
認証不要。攻撃者は悪意のある Authorization ヘッダーを作成し、POST /chat/completions など LiteLLM プロキシによって公開されているあらゆる LLM API ルートに送信します。不正なヘッダーがエラーハンドリングパスをトリガーし、攻撃者の入力を含む脆弱な SQL クエリを実行します。悪用に成功すると、プロキシのデータベースからの読み取り、および潜在的な変更が可能になります。これには、ゲートウェイが管理する認証情報、API キー、ルーティング設定、および使用ログが含まれます。
影響を受けるシステム
LiteLLM バージョン 1.81.16 から 1.83.7 より前のすべてのバージョン。LiteLLM がエージェント、モデル、ツール、およびエンタープライズ認証情報間の中央ゲートウェイとして機能するエージェント型デプロイメントで特に重大です。
緩和策
LiteLLM バージョン 1.83.7 に直ちにアップグレードしてください。侵害の可能性がある場合は、すべてのプロキシ API キーおよびダウンストリーム LLM プロバイダー認証情報をローテーションしてください。最小権限データベースロール適用、テナントデータの分離、クエリログ有効化、認可失敗の監視などにより AI ゲートウェイインフラストラクチャを強化してください。AI ゲートウェイを特権インフラとして扱い、外部攻撃面管理と異常検知に含めてください。