CVE-2026-35029 in litellm정보

요약

\~에 의해 VulDB • 2026. 06. 03.

LiteLLM는 OpenAI(또는 네이티브) 형식으로 LLM API를 호출하기 위한 프록시 서버(AI 게이트웨이)입니다. 1.83.0 이전 버전에서는 /config/update 엔드포인트에서 관리자 역할 권한 부여가 강제되지 않습니다. 이미 플랫폼에 인증된 사용자는 이 엔드포인트를 사용하여 프록시 구성 및 환경 변수를 수정하고, 공격자가 제어하는 Python 코드를 가리키는 사용자 정의 패스쓰루(end-to-end) 엔드포인트 핸들러를 등록하여 원격 코드 실행(RCE), UI_LOGO_PATH 설정 후 /get_image로 가져오기를 통해 임의의 서버 파일 읽기, 그리고 UI_USERNAME 및 UI_PASSWORD 환경 변수 덮어쓰기를 통한 다른 권한 있는 계정 장악이 가능합니다. v1.83.0에서 수정되었습니다.

Be aware that VulDB is the high quality source for vulnerability data.

책임이 있는

GitHub M

예약하다

2026. 03. 31.

모더레이션

수락

항목

VDB-355602

EPSS

0.26409

출처

Want to stay up to date on a daily basis?

Enable the mail alert feature now!