Litellm

Pesquisadores da Obsidian Security identificaram uma cadeia de três vulnerabilidades críticas no LiteLLM, um gateway de IA de código aberto amplamente utilizado. A primeira falha, CVE-2026-47101, permite que contas de baixo privilégio contornem restrições de autorização, possibilitando que usuários não administradores gerem chaves de API com acesso irrestrito. A segunda vulnerabilidade, CVE-2026-47102, permite a escalonamento de privilégios, onde um usuário pode se promover a administrador completo. Por fim, a CVE-2026-40217 permite a execução de código remoto através de um escape de sandbox, possibilitando que atacantes executem comandos no servidor. A exploração bem-sucedida dessas falhas pode expor chaves de acesso, credenciais e dados sensíveis que transitam pelo gateway. A Obsidian avaliou a gravidade da cadeia de vulnerabilidades com um CVSS de 9.9, classificando-a como crítica. O mantenedor do LiteLLM, BerriAI, lançou uma atualização (v1.83.14-stable) em 2 de maio para corrigir as falhas. É essencial que as organizações atualizem suas implementações e realizem auditorias de segurança para mitigar riscos associados a essas vulnerabilidades.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade de alta severidade no BerriAI LiteLLM em seu catálogo de Vulnerabilidades Conhecidas (KEV), devido a evidências de exploração ativa. A falha, identificada como CVE-2026-42271, possui uma pontuação CVSS de 8.7 e permite que usuários autenticados executem comandos arbitrários no host. A vulnerabilidade afeta versões específicas do pacote Python LiteLLM, onde dois endpoints de teste aceitam configurações completas do servidor, possibilitando a execução de comandos como subprocessos no host proxy. Os mantenedores do LiteLLM informaram que a segurança dos endpoints dependia apenas de uma chave de API válida, permitindo que qualquer usuário autenticado, incluindo aqueles com privilégios elevados, executasse comandos arbitrários. Para mitigar a falha, foi lançada uma atualização (versão 1.83.7) que exige o papel PROXY_ADMIN para acessar os endpoints. Além disso, uma cadeia de exploração foi identificada, combinando essa vulnerabilidade com outra (CVE-2026-48710), resultando em uma pontuação CVSS crítica de 10.0, permitindo a execução remota de código sem autenticação. Os usuários são aconselhados a atualizar imediatamente suas versões do LiteLLM e Starlette, além de implementar medidas de mitigação se a atualização não for viável.

Uma nova vulnerabilidade crítica foi descoberta no pacote Python LiteLLM da BerriAI, com o identificador CVE-2026-42208, que apresenta uma pontuação CVSS de 9.3. Trata-se de uma falha de injeção SQL que permite a atacantes não autenticados modificar o banco de dados subjacente do LiteLLM. A vulnerabilidade foi identificada em uma consulta de banco de dados que misturava valores de chave de API fornecidos pelo chamador na consulta em vez de passá-los como parâmetros separados. Isso possibilita que um atacante envie um cabeçalho de autorização malicioso para qualquer rota da API LLM e acesse dados sensíveis, como credenciais e chaves de provedores de modelos de linguagem. Apesar de a falha ter sido corrigida na versão 1.83.7-stable, lançada em 19 de abril de 2026, a exploração começou apenas uma semana depois, com tentativas registradas em 26 de abril. O ataque visou tabelas específicas que armazenam informações críticas, sugerindo que o invasor tinha conhecimento prévio sobre a estrutura do banco de dados. Os especialistas recomendam que os usuários atualizem suas instâncias ou desativem logs de erro para mitigar a exploração.

Hackers estão atacando informações sensíveis armazenadas no modelo de linguagem de código aberto LiteLLM, explorando uma vulnerabilidade crítica identificada como CVE-2026-42208. Essa falha, uma injeção SQL, ocorre durante a verificação da chave da API do proxy do LiteLLM, permitindo que um invasor, sem necessidade de autenticação, envie um cabeçalho de autorização malicioso para qualquer rota da API do LLM. Isso possibilita a leitura e modificação de dados no banco de dados do proxy, incluindo chaves de API e credenciais. O mantenedor do projeto lançou uma correção na versão 1.83.7, substituindo a concatenação de strings por consultas parametrizadas. O LiteLLM é amplamente utilizado por desenvolvedores de aplicativos e plataformas de LLM, com 45 mil estrelas e 7,6 mil forks no GitHub. Pesquisadores da Sysdig relataram que a exploração da vulnerabilidade começou cerca de 36 horas após a divulgação pública do bug, com tentativas de exploração direcionadas a tabelas específicas que continham credenciais e dados sensíveis. As instâncias do LiteLLM que ainda estão em versões vulneráveis devem ser consideradas potencialmente comprometidas, e todas as chaves e credenciais devem ser rotacionadas. Para aqueles que não podem atualizar, recomenda-se desativar logs de erro para bloquear a entrada de dados maliciosos.

Em março de 2026, um ataque à cadeia de suprimentos realizado pelo grupo TeamPCP comprometeu pacotes da biblioteca de desenvolvimento de IA LiteLLM, resultando em uma operação sistemática de coleta de credenciais a partir de estações de trabalho de desenvolvedores. O malware, que foi injetado nas versões 1.82.7 e 1.82.8 do LiteLLM disponíveis no PyPI, ativou-se quando os desenvolvedores instalavam ou atualizavam o pacote, coletando chaves SSH, credenciais de nuvem e outras informações sensíveis. Apesar da remoção rápida dos pacotes maliciosos, a análise da GitGuardian revelou que 1.705 pacotes do PyPI estavam configurados para puxar as versões comprometidas como dependências, expondo ainda mais sistemas a riscos.

Em 24 de março de 2026, o pacote LiteLLM foi alvo de um ataque à cadeia de suprimentos realizado pelo grupo TeamPCP. Duas versões maliciosas (1.82.7 e 1.82.8) foram publicadas no PyPi, executando automaticamente um payload para roubo de credenciais e permitindo a exfiltração de dados sensíveis, como tokens de API, dados em nuvem e chaves SSH. O LiteLLM, uma biblioteca Python de código aberto, é amplamente utilizada, com cerca de 97 milhões de downloads mensais, o que aumenta a gravidade do incidente. Estima-se que cerca de 500.000 credenciais já tenham sido comprometidas, e especialistas alertam que isso pode ser apenas o começo de um ataque maior. Ferramentas de segurança tradicionais falharam em detectar a exploração, e muitos desenvolvedores podem não estar cientes de que o LiteLLM é uma dependência em seus projetos. Em resposta, a Point Wild desenvolveu um scanner de IA chamado ‘who-touched-my-packages’ para detectar comportamentos maliciosos em pacotes de terceiros. O TeamPCP também é responsável por outros ataques recentes, incluindo a distribuição de malware via o scanner de vulnerabilidades Trivy e uma campanha que visa clusters Kubernetes. Os ataques à cadeia de suprimentos estão se tornando uma prioridade para hackers, pois permitem acesso a múltiplas organizações a partir de uma única fonte.

O grupo de hackers TeamPCP lançou um ataque à cadeia de suprimentos, comprometendo o popular pacote Python LiteLLM, que possui mais de 3,4 milhões de downloads diários. As versões maliciosas 1.82.7 e 1.82.8 foram publicadas no repositório PyPI, contendo um infostealer que coleta dados sensíveis de dispositivos. A pesquisa da Endor Labs revelou que o código malicioso é ativado quando o pacote é importado, permitindo a coleta de credenciais, chaves SSH, tokens de nuvem e segredos do Kubernetes. O ataque é semelhante a uma violação anterior do scanner de vulnerabilidades Trivy, também atribuída ao TeamPCP. A quantidade de dados exfiltrados é estimada em cerca de 500 mil, embora a confirmação independente desses números não tenha sido possível. As versões comprometidas foram removidas do PyPI, e a versão 1.82.6 é agora a mais recente e limpa. Organizações que utilizam o LiteLLM são aconselhadas a verificar instalações das versões afetadas e a rotacionar imediatamente todas as credenciais e segredos expostos.