技術的な説明
LLM API リクエスト管理用の広く使用されている AI ゲートウェイおよびプロキシである LiteLLM は、バージョン 1.83.10 より前の認可バイパス脆弱性を含んでいます。/user/update エンドポイントはユーザーが自分のアカウントのみを更新することを正しく制限していますが、どのフィールドが変更される可能性があるかは制限していません。認証されたユーザーは自分の user_role フィールドを proxy_admin に修正し、LiteLLM インスタンスに対する完全な管理特権を取得できます。CVSS 3.1 スコア: 8.8 (高)。
攻撃経路
有効なセッションを持つ認証されたユーザーが /user/update エンドポイントへの細工されたリクエストを送信し、user_role フィールドを proxy_admin に設定します。エンドポイントはユーザーが自分のアカウントを更新していることのみを検証し、どのフィールドが修正されているかを検証しないため、権限昇格に成功します。攻撃者は LiteLLM のルーティング、モデルアクセス、API キー、および設定を完全に制御できます。
影響を受けるシステム
バージョン 1.83.10 より前の LiteLLM。OpenAI、Anthropic、Google、Azure OpenAI およびその他の LLM プロバイダーへのアクセスを管理するための AI ゲートウェイとして LiteLLM を使用している組織。
緩和策
直ちに LiteLLM 1.83.10 以降にアップグレードしてください。予期しない user_role 変更または権限昇格アクティビティについて監査ログを確認してください。侵害が疑われる場合は API キーと認証情報をローテーションしてください。最小権限アクセス制御を実装し、管理機能をユーザーセルフサービスエンドポイントから分離してください。