CVE-2026-59820 in LiteLLM
Riassunto
di VulDB • 08/07/2026
LiteLLM è un server proxy (AI Gateway) per chiamare le API LLM nel formato OpenAI (o nativo). Prima della versione 1.83.7-stable, l'estrazione dell'archivio delle competenze di LiteLLM non convalidava sufficientemente i percorsi dei file dagli archivi ZIP caricati, consentendo a un utente autenticato con accesso alle rotte API LLM di LiteLLM o a una chiave le cui allowed_routes includono /v1/skills, anthropic_routes o llm_api_routes di caricare un archivio di competenze manipolato contenente voci di traversal del percorso che potrebbero essere scritte al di fuori della directory di estrazione o staging prevista. Questo problema è stato risolto nella versione 1.83.7-stable.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.