Katalog CVE

CVE-2026-12797

ŚrednieCVSS 6.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.21%

Percentyl 11 — wyżej niż 11% wszystkich znanych CVE

Streszczenie

W BerriAI litellm do wersji 1.82.5 odkryto lukę bezpieczeństwa w funkcji async_pre_call_hook w pliku enterprise/enterprise_hooks/banned_keywords.py. Manipulacja argumentem prompt prowadzi do nieprawidłowej autoryzacji, co może być wykorzystane w atakach zdalnych.

Ocena ryzyka

Luka ta stwarza ryzyko nieautoryzowanego dostępu do systemu, co może prowadzić do poważnych naruszeń bezpieczeństwa danych w organizacji.

Rekomendacja

Zaleca się aktualizację BerriAI litellm do najnowszej wersji, aby usunąć tę lukę oraz monitorowanie systemu pod kątem nieautoryzowanych prób dostępu.

Oryginalny opis (angielski, źródło NVD)

A security flaw has been discovered in BerriAI litellm up to 1.82.5. Affected is the function async_pre_call_hook of the file enterprise/enterprise_hooks/banned_keywords.py of the component Completions Interface. The manipulation of the argument prompt results in incorrect authorization. The attack may be performed from remote. The exploit has been released to the public and may be used for attacks. The vendor was contacted early about this disclosure.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS