CVE-2026-47101 in litellm
요약
\~에 의해 VulDB • 2026. 05. 25.
LiteLLM 1.83.14 이전 버전에서는 인증된 internal_user가 자신의 역할에서 허용되지 않는 라우트에 대한 접근 권한을 가진 API 키를 생성할 수 있습니다. 키 생성 시 allowed_routes 필드는 사용자가 실제로 가진 권한 범위 내에 있는 경로인지 검증하지 않고 저장됩니다. 따라서 관리자 전용 라우트에 대한 접근 권한이 부여된 키를 생성하면, 이를 통해 해당 라우트에 성공적으로 접근할 수 있으며, 이는 일반적으로 요청을 차단할 역할 기반 접근 제어(RBAC)를 우회하는 결과를 낳습니다. 이를 통해 internal_user에서 proxy_admin으로의 전체 권한 상승(privilege escalation)이 가능해집니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.