CVE-2026-35029 in litellminformação

Sumário

de VulDB • 26/05/2026

LiteLLM é um servidor proxy (AI Gateway) para chamar APIs de LLM no formato OpenAI (ou nativo). Antes da versão 1.83.0, o endpoint /config/update não aplica a autorização de função de administrador. Um usuário já autenticado na plataforma pode então usar esse endpoint para modificar a configuração do proxy e variáveis de ambiente, registrar manipuladores de endpoint personalizados de passagem direta (pass-through) apontando para código Python controlado pelo atacante, alcançando execução remota de código (RCE), leitura de arquivos arbitrários do servidor ao definir UI_LOGO_PATH e buscar via /get_image, e assumir o controle de outras contas privilegiadas ao sobrescrever as variáveis de ambiente UI_USERNAME e UI_PASSWORD. Corrigido na v1.83.0.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsável

GitHub M

Reservar

31/03/2026

Divulgação

06/04/2026

Moderação

aceite

Entrada

VDB-355602

CPE

pronto

EPSS

0.26409

KEV

não

Atividades

muito baixo

Fontes

Do you want to use VulDB in your project?

Use the official API to access entries easily!