技术说明
LiteLLM,一个广泛使用的用于管理 LLM API 请求的 AI 网关和代理,在版本 1.83.10 之前存在授权绕过漏洞。/user/update 端点正确限制用户只能更新自己的账户,但没有限制可以更改哪些字段。已认证用户可以将自己的 user_role 字段修改为 proxy_admin,从而获得对 LiteLLM 实例的完整管理权限。CVSS 3.1 评分:8.8(高危)。
攻击途径
拥有有效会话的已认证用户向 /user/update 端点发送精心构造的请求,将其 user_role 字段设置为 proxy_admin。由于该端点仅验证用户是否在更新自己的账户,而不验证正在修改哪些字段,权限提升得以成功。攻击者获得对 LiteLLM 路由、模型访问、API 密钥和配置的完全控制。
受影响系统
LiteLLM 版本 1.83.10 之前的版本。使用 LiteLLM 作为 AI 网关来管理对 OpenAI、Anthropic、Google、Azure OpenAI 和其他 LLM 提供商访问的组织。
缓解措施
立即升级到 LiteLLM 1.83.10 或更高版本。审查审计日志以查找意外的 user_role 更改或权限提升活动。如果怀疑遭到入侵,请轮换 API 密钥和凭据。实施最小权限访问控制,并将管理功能与用户自助服务端点分离。