Apa yang terjadi
Versi proxy LiteLLM sebelum 1.84.0 mengandung bypass autentikasi kritis (CVSS 9.5, CWE-290) dalam fungsi get_request_route() di dalam litellm/proxy/auth/auth_utils.py. Lapisan auth menurunkan rute efektif dari request.url.path, yang kerangka kerja Starlette membangun kembali dari header Host yang dikendalikan penyerang. Header Host yang dirancang menyebabkan gerbang autentikasi mengevaluasi rute yang berbeda dari yang dikirimi FastAPI, memberikan akses tidak terauthentikasi ke titik akhir manajemen yang dilindungi seperti /key/generate dan /user/new. Ditemukan oleh Le The Thang (KCSC) dan Kim Ngoc Chung (One Mount Group); diperbaiki di 1.84.0. Catatan: CVE-2026-49468 sebelumnya ditandai dalam ringkasan 2026-06-21; entri ini dikonfirmasi segar melalui verifikasi Fase 2 teks lengkap dari berbagai sumber independen.
Mengapa penting
LiteLLM adalah salah satu gateway API LLM sumber terbuka yang paling banyak digunakan, berfungsi sebagai titik pengawasan pusat untuk lusinan kunci API penyedia LLM. Eksploitasi yang berhasil memberikan penyerang kontrol administratif penuh: mereka dapat mencuri kunci API downstream, membuat token akses baru, dan mengkonfigurasi ulang rute — secara efektif mengompromi setiap beban kerja LLM di belakang proxy. Penerapan yang secara langsung terbuka untuk internet tanpa CDN/WAF hulu sepenuhnya rentan tanpa autentikasi.
Vektor serangan
Permintaan HTTP unauthenticated jarak jauh dengan header Host yang dirancang ke pendengar proxy LiteLLM. Dapat dieksploitasi hanya ketika proxy terbuka secara langsung (tidak ada CDN/WAF/reverse-proxy hulu dengan validasi server_name yang ketat).
Sistem yang terdampak
LiteLLM (BerriAI) < 1.84.0
Mitigasi
Upgrade ke LiteLLM ≥ 1.84.0 (pip install --upgrade 'litellm>=1.84.0'). Jika penerapan patch segera tidak memungkinkan, letakkan proxy di belakang komponen hulu (NGINX, CDN, WAF) yang memvalidasi dan menormalkan header Host. GHSA: https://github.com/advisories/GHSA-4xpc-pv4p-pm3w