📰 LiteLLM, Copilot, Langflow: бизнес-сантехника ИИ дала течь — проверь свой стек на дыры
Два ИИ-инструмента сломались одинаково за две недели, и четыре исследовательские команды это доказали. Суть каждого раскрытия укладывается в одну фразу: корпоративный ИИ принимает внешние данные без контроля доверия. 15 июня Varonis обнародовала SearchLeak (CVE-2026-42824) — цепочку эксфильтрации в Microsoft 365 Copilot Enterprise Search. Жертва кликает по crafted-ссылке на microsoft.com, Copilot шерстит её почтовый ящик, и данные утекают через Bing SSRF. Никаких плагинов, второго клика, видимых индикаторов. Четырьмя днями ранее Obsidian Security опубликовала цепочку из трёх CVE против LiteLLM, превратившую пользователя с правами по умолчанию в администратора и открывшую удалённое выполнение кода. Два инструмента. Две команды. Один сломанный рубеж.
Пятипунктовая проверка в конце этой статьи сопоставляет каждую брешь либо с CVE, либо с рыночным сигналом июня, даёт команду, которую можно выполнить до обеда, и фразу для доклада совету директоров.
Copilot превратил доверенный URL в двигатель эксфильтрации
SearchLeak склеил три слабых места в бесшумную цепочку кражи данных. Параметр q в URL передавал атакующие инструкции прямо в LLM Copilot'а. Состояние гонки при рендеринге успевало запустить тег изображения до того, как отрабатывал очиститель вывода. А эндпоинт Bing для поиска картинок — внесённый в белый список Content Security Policy — выводил украденные данные наружу. Microsoft оценила уязвимость как критическую и, по данным Varonis, исправила её на серверной стороне. NVD ещё не присвоил рейтинг; сторонний трекер ставит 6,5 — medium. Серьёзность спорна, но механизм — нет.
Эскалация — вот настоящая история. Это третья цепочка эксфильтрации Copilot от Varonis за двенадцать месяцев, после Reprompt в январе и EchoLeak в 2025-м. Reprompt бил по Copilot Personal. SearchLeak — по Enterprise Search. Корпоративная версия наследует полные права пользователя в организации — радиус поражения равен всему, до чего может дотянуться пользователь.
LiteLLM вручил каждому провайдерскому ключу учётку по умолчанию
Шлюз LiteLLM хранит ключи для OpenAI, Anthropic, Azure и Bedrock за одним прокси. Цепочка от Obsidian разворачивается в три хода. CVE-2026-47101 — обход авторизации: не-администратор может создать wildcard-ключ API. CVE-2026-47102 повышает того же вызывающего до администратора прокси через незащищённый эндпоинт /user/update. CVE-2026-40217 сбегает из песочницы кода через exec() с полными встроенными функциями. Затем Obsidian продемонстрировала reverse shell, внедрив поддельный ответ от tool-call через callback-механизм LiteLLM. Obsidian оценила комбинированную цепочку в CVSS 9,9. Разработчик набрал одно слово. Атакующий получил шелл.
Отдельная уязвимость LiteLLM сделала срочность очевидной. CVE-2026-42271 — командная инъекция в тестовых эндпоинтах MCP — попала в список CISA KEV 8 июня с дедлайном исправления до 22 июня. Запись в KEV — это не цепочка от Obsidian. Два разных раскрытия с разницей в четыре дня, исправленные в разных релизах, но указывающие на один и тот же шлюз. У LiteLLM более 40 тысяч звёзд на GitHub и тысячи корпоративных установок. Это не первая тревога: supply-chain атака внедрила бэкдор в версии 1.82.7 и 1.82.8 на PyPI в марте. Скомпрометированный шлюз открывает все провайдерские учётные данные, которые хранит организация....
🔗 Полный текст статьи читайте у нас на сайте: Читать на TechLoot
📢 ТехноЛут
