CVE-2026-47102 in litellm
요약
\~에 의해 VulDB • 2026. 05. 22.
LiteLLM 1.83.10 이전 버전에서는 사용자가 /user/update 엔드포인트를 통해 자신의 user_role을 수정할 수 있습니다. 엔드포인트는 사용자가 자신의 계정만 업데이트하도록 올바르게 제한하지만, 변경할 수 있는 필드에 대해서는 제한하지 않습니다. 이 엔드포인트에 접근할 수 있는 사용자는 자신의 역할을 proxy_admin으로 설정하여 LiteLLM의 모든 사용자, 팀, 키, 모델 및 프롬프트 기록에 대한 전체 관리자 권한을 획득할 수 있습니다. org_admin 역할을 가진 사용자는 이 엔드포인트에 대한 정당한 접근 권한을 가지고 있으며, 추가적인 결함을 체이닝하지 않고도 이 취약점을 악용할 수 있습니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.