ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

2 ข่าว

LiteLLM พบช่องโหว่ร้ายแรง 3 รายการแบบ Chain Attack — ผู้ใช้สิทธิ์ต่ำยึดเซิร์ฟเวอร์ AI Gateway ได้ทั้งระบบ

LiteLLM vulnerability chain attack AI gateway server takeover
นักวิจัยจาก Obsidian Security เปิดเผยช่องโหว่ 3 รายการใน LiteLLM ที่สามารถ chain กันได้ ทำให้ผู้ใช้สิทธิ์ต่ำยกระดับเป็น admin และรันโค้ดบนเซิร์ฟเวอร์ได้ ช่องโหว่ได้รับคะแนน CVSS 9.9 ระดับ Critical โดย BerriAI แก้ไขแล้วในเวอร์ชัน 1.83.14-stable

LiteLLM ช่องโหว่ SQL Injection วิกฤต — แฮ็กเกอร์ขโมย API Key ของ LLM Provider ได้ภายใน 36 ชั่วโมง

LiteLLM CVE-2026-42208 SQL Injection AI Security
พบช่องโหว่ CVE-2026-42208 (CVSS 9.3) ใน BerriAI LiteLLM ซึ่งเป็น Python proxy ยอดนิยมสำหรับเชื่อมต่อ LLM หลายตัว ช่องโหว่เป็น SQL injection ที่ผู้โจมตีส่ง Authorization header พิเศษไปยัง API route ใดก็ได้เพื่ออ่านและแก้ไขฐานข้อมูล ขโมย API key ของ OpenAI, Anthropic และ provider อื่น ๆ ถูก exploit จริงภายใน 36 ชั่วโมงหลังเปิดเผย CISA บรรจุเข้า KEV catalog