CVE-2026-35029 in litellmالمعلومات

الملخص

بحسب VulDB • 03/06/2026

LiteLLM هو خادم وسيط (بوابة ذكاء اصطناعي) لاستدعاء واجهات برمجة تطبيقات نماذج اللغات الكبيرة (LLMs) بتنسيق OpenAI (أو التنسيق الأصلي). قبل الإصدار 1.83.0، لا يفرض نقطة النهاية `/config/update` تفويض دور المسؤول. يمكن للمستخدم الذي قام بالفعل بالمصادقة على المنصة استخدام هذه النقطة النهائية لتعديل تكوين الوكيل ومتغيرات البيئة، وتسجيل معالجات نقاط نهاية مخصصة للتوجيه المباشر (pass-through) تشير إلى كود بايثون يتحكم فيه المهاجم، مما يتيح تنفيذ الأكواد عن بُعد، وقراءة ملفات الخادم بشكل تعسفي من خلال تعيين `UI_LOGO_PATH` وجلبها عبر `/get_image`، والاستيلاء على حسابات مميزة أخرى عن طريق الكتابة فوق متغيرات البيئة `UI_USERNAME` و `UI_PASSWORD`. تم الإصلاح في الإصدار v1.83.0.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

GitHub M

حجز

31/03/2026

إفشاء

06/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-355602

EPSS

0.26409

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!