技術的な説明
LiteLLM は LLM API リクエストを管理するための広く使用されている AI ゲートウェイおよびプロキシであり、バージョン 1.83.10 より前の認可バイパス脆弱性が含まれています。/user/update エンドポイントは、ユーザーが自分のアカウントのみを更新することを正しく制限していますが、変更される可能性のあるフィールドは制限していません。認証されたユーザーは自分のユーザーの user_role フィールドを proxy_admin に変更して、LiteLLM インスタンスに対する完全な管理特権を取得できます。CVSS 3.1 スコア: 8.8 (高)。
攻撃経路
有効なセッションを持つ認証されたユーザーが、user_role フィールドを proxy_admin に設定して、/user/update エンドポイントへのクラフトされたリクエストを送信します。エンドポイントはユーザーが自分のアカウントを更新していることのみを検証し、どのフィールドが変更されているかは検証しないため、権限昇格に成功します。攻撃者は LiteLLM のルーティング、モデルアクセス、API キー、および構成を完全に制御できるようになります。
影響を受けるシステム
バージョン 1.83.10 より前の LiteLLM。OpenAI、Anthropic、Google、Azure OpenAI、および他の LLM プロバイダーへのアクセスを管理するために AI ゲートウェイとして LiteLLM を使用している組織。
緩和策
LiteLLM 1.83.10 以降に直ちにアップグレードしてください。予期しない user_role 変更または権限昇格アクティビティについて監査ログを確認してください。侵害が疑われる場合は API キーと認証情報をローテーションしてください。最小権限アクセス制御を実装し、管理機能をユーザーセルフサービスエンドポイントから分離してください。