事件经过
BerriAI LiteLLM 至 1.82.5 版本的安全缺陷允许 enterprise/enterprise_hooks/banned_keywords.py(完成接口)中的 async_pre_call_hook 函数中的不正确授权。操纵提示参数导致不正确授权,允许绕过企业关键字禁止控制。CVSS 6.3 中等;发布于 2026-06-21。
影响分析
LiteLLM 的企业部署使用禁止关键字钩子作为安全策略控制,以防止特定提示内容到达 LLM 提供商。绕过打破了 AI 网关中的内容策略执行,在企业 AI 管道中启用了禁止内容的提示注入或监管合规性违规。
攻击途径
发送至完成接口的精心构造的提示参数绕过 async_pre_call_hook 关键字禁止执行。
受影响系统
LiteLLM(BerriAI)≤ 1.82.5(企业版,banned_keywords 钩子)
缓解措施
升级 LiteLLM 至 ≥ 1.84.0。NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-12797