무슨 일이 있었나
LiteLLM 프록시 버전 1.84.0 이전은 litellm/proxy/auth/auth_utils.py 내의 get_request_route() 함수에서 중대 인증 우회(CVSS 9.5, CWE-290)를 포함하고 있습니다. 인증 계층은 request.url.path에서 유효한 경로를 도출하며, Starlette 프레임워크는 이를 공격자가 제어 가능한 HTTP Host 헤더에서 재구성합니다. 조작된 Host 헤더는 인증 게이트가 FastAPI가 디스패치하는 것과 다른 경로를 평가하도록 유도하여 /key/generate 및 /user/new와 같은 보호된 관리 엔드포인트에 대한 인증되지 않은 접근을 허용합니다. Le The Thang(KCSC) 및 Kim Ngoc Chung(One Mount Group)이 발견했으며, 1.84.0에서 수정되었습니다. 참고: CVE-2026-49468은 2026-06-21 다이제스트에서 이전에 표시되었으며, 이 항목은 여러 독립적인 소스의 전체 텍스트 Phase 2 검증을 통해 확인된 새로운 내용입니다.
왜 중요한가
LiteLLM은 가장 널리 배포된 오픈소스 LLM API 게이트웨이 중 하나이며, 수십 개의 LLM 제공자 API 키에 대한 중앙 집중식 초크포인트로 작동합니다. 성공적인 악용은 공격자에게 완전한 관리 제어를 제공합니다: 다운스트림 API 키를 도용하고, 새로운 접근 토큰을 발급하고, 라우팅을 재구성할 수 있으며, 프록시 뒤의 모든 LLM 워크로드를 효과적으로 손상시킵니다. 업스트림 CDN/WAF 없이 인터넷에 직접 노출된 배포는 인증 없이 완전히 취약합니다.
공격 경로
조작된 Host 헤더를 포함한 LiteLLM 프록시 리스너에 대한 원격 인증되지 않은 HTTP 요청입니다. 프록시가 직접 노출될 때만 악용 가능합니다(업스트림 CDN/WAF/역 프록시가 server_name 검증을 수행하지 않음).
영향받는 시스템
LiteLLM (BerriAI) < 1.84.0
완화 방안
LiteLLM ≥ 1.84.0으로 업그레이드하세요(pip install --upgrade 'litellm>=1.84.0'). 즉시 패치가 불가능한 경우, Host 헤더를 검증하고 정규화하는 업스트림 컴포넌트(NGINX, CDN, WAF) 뒤에 프록시를 배치하세요. GHSA: https://github.com/advisories/GHSA-4xpc-pv4p-pm3w