Zurück zur Liste

LiteLLM: Server-Side Template Injection in /prompts/test endpoint — CVE-2026-42203

GitHub · GitHub · CVE-2026-42203

ID
CVE-2026-42203
Datum
Aktualisiert
Activity
Quelle
GitHub
Vendor
GitHub
Risiko
high
CVSS
8.6
EPSS
0.00047

Zusammenfassung

### Impact The `POST /prompts/test` endpoint accepted user-supplied prompt templates and rendered them without sandboxing. A crafted template could run arbitrary code inside the LiteLLM Proxy process. The endpoint only checks that the caller presents a valid proxy API key, so any authenticated user could reach it. Depending on how the proxy is deployed, this could expose secrets in the process environment (such as…

Produkt

pip: litellm

Was tun?

Allgemeine, vorsichtige Schritte (bitte prüfe die offizielle Quelle für Details):

  • Priorisiere sofort Patches oder Mitigations (hohes akutes Risiko).
  • Identifiziere betroffene Produktversionen und prüfe, ob du betroffen bist.
  • Spiele Hersteller-Updates/Patches ein oder setze empfohlene Mitigations um.
  • Lies das offizielle Advisory für betroffene Versionen und konkrete Schritte.

Offizielles Advisory

Mehr dazu

GitHub GitHub 2026-W20