高危预警|CVE-2026-47101 LiteLLM 权限提升漏洞详解与修复方案
一、漏洞基础信息
表格
| 项目 | 详情 |
|---|---|
| 漏洞名称 | LiteLLM 权限提升漏洞 |
| 漏洞编号 | CVE-2026-47101、QVD-2026-27968 |
| 公开时间 | 2026-05-20 |
| 奇安信评级 | 高危 |
| CVSS 3.1 分数 | 8.8 |
| 威胁类型 | 权限提升 |
| 利用可能性 | 高 |
| POC/EXP 状态 | 已公开 |
| 在野利用 | 未发现 |
漏洞危害
攻击者可利用该漏洞,将普通 internal_user 权限直接提升为 proxy_admin 管理员权限,绕过 RBAC 角色限制,完全接管 LiteLLM 代理服务器的管理权限,可操控多模型调度、API 密钥、成本监控等核心配置。
二、组件与漏洞原理
1. 组件说明
LiteLLM 是开源大模型统一接入网关 + Python SDK,兼容 OpenAI 标准 API,可统一调度 OpenAI、Anthropic、Google 等 100 + 大模型,广泛用于 AI 应用开发、API 网关、多模型负载均衡、私有化部署场景,全球月下载量极高,是 AI 基础设施核心组件。
2. 漏洞核心原理
漏洞根源:/key/generate 生成虚拟 API 密钥接口,未对 allowed_routes 字段做权限校验
- 接口直接存储用户传入的路由配置,不验证路由是否在当前用户权限范围内
- 普通 internal_user 可构造包含管理员专属路由的 API 密钥
- 使用该密钥即可绕过角色限制,提权为 proxy_admin,获取服务器完整管理权限
三、影响范围
1. 影响版本
LiteLLM < 1.83.14
2. 受影响资产规模
- 国内风险资产:8437 个,关联 IP 2570 个
- 全球风险资产:118178 个,关联 IP 40666 个
- 影响量级:万级,覆盖大量企业生产环境大模型调用链路
3. 利用条件
- 攻击者持有有效的internal_user 角色 API 密钥
- 目标可访问/key/generate、/user/update端点
- 系统已启用RBAC 角色访问控制功能
四、复现情况
奇安信威胁情报中心已成功复现该漏洞,验证利用流程可稳定实现权限提升,PoC 与技术细节已公开,攻击门槛低、利用难度小。
五、修复方案(官方推荐)
1. 紧急升级版本
立即更新至 LiteLLM ≥ 1.83.14,官方已发布安全补丁修复权限校验缺陷。
2. 升级命令
bash
运行
# pip 升级 pip install --upgrade litellm>=1.83.14 # 固定版本安装 pip install litellm==1.83.143. 官方下载地址
https://github.com/BerriAI/litellm/releases/tag/v1.83.14-stable
六、临时防护措施(暂无法升级时)
- 接口访问限制封禁或严格限制
/key/generate、/user/update对外访问,仅允许可信内网 IP 调用 - 权限最小化缩减 internal_user 角色权限,禁用非必要 API 密钥生成功能
- 启用访问审计开启 LiteLLM 日志审计,监控异常密钥生成、权限变更行为
- 密钥轮换定期轮换所有 internal_user 及管理员 API 密钥,降低泄露风险
七、总结与建议
CVE-2026-47101 是AI 基础设施层高危漏洞,POC 公开、利用简单,影响海量 LiteLLM 部署实例。 ✅ 核心动作:立即升级至 v1.83.14 及以上版本✅ 辅助动作:收紧接口权限、开启审计、定期密钥轮换 建议所有使用 LiteLLM 的开发 / 运维团队快速自查版本,完成修复,避免权限被非法接管导致业务风险。
参考资料
- https://huntr.com/bounties/8e75edfb-ff05-4e63-bfca-2d93d03fb3b9
- https://gist.github.com/13ph03nix/9ec616e1fdc77b3673509c60206e827f
- https://www.vulncheck.com/advisories/litellm-privilege-escalation-via-api-key-generation