LiteLLM是一款开源大语言模型统一接入网关与PythonSDK,可通过兼容 OpenAI的标准API接口,统一调度OpenAI、Anthropic、Google等100+种大模型服务,广泛用于AI应用开发、API网关、多模型负载均衡、密钥管理与成本监控场景
近日,监测到官方修复LiteLLM权限提升漏洞(CVE-2026-47101),该漏洞源于/key/generate接口在创建虚拟API密钥时,未对allowed_routes字段做权限校验,直接存储用户指定的路由配置,未验证这些路由是否在当前用户的权限范围内。攻击者可利用该漏洞,通过构造包含管理员专属路由的API密钥,绕过用户本身的角色限制,将普通内部用户(internal_user)权限提升至管理员(proxy_admin),从而完全接管代理服务器的管理权限。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
LiteLLM < 1.83.14
三、修复建议
官方已发布安全补丁,请及时更新至安全版本:
LiteLLM >= 1.83.14
Designed by