一、漏洞基础信息表格项目详情漏洞名称LiteLLM 权限提升漏洞漏洞编号CVE-2026-47101、QVD-2026-27968公开时间2026-05-20奇安信评级高危CVSS 3.1 分数8.8威胁类型权限提升利用可能性高POC/EXP 状态已公开在野利用未发现漏洞危害攻击者可利用该漏洞将普通 internal_user 权限直接提升为 proxy_admin 管理员权限绕过 RBAC 角色限制完全接管 LiteLLM 代理服务器的管理权限可操控多模型调度、API 密钥、成本监控等核心配置。二、组件与漏洞原理1. 组件说明LiteLLM 是开源大模型统一接入网关 Python SDK兼容 OpenAI 标准 API可统一调度 OpenAI、Anthropic、Google 等 100 大模型广泛用于 AI 应用开发、API 网关、多模型负载均衡、私有化部署场景全球月下载量极高是 AI 基础设施核心组件。2. 漏洞核心原理漏洞根源/key/generate 生成虚拟 API 密钥接口未对 allowed_routes 字段做权限校验接口直接存储用户传入的路由配置不验证路由是否在当前用户权限范围内普通 internal_user 可构造包含管理员专属路由的 API 密钥使用该密钥即可绕过角色限制提权为 proxy_admin获取服务器完整管理权限三、影响范围1. 影响版本LiteLLM 1.83.142. 受影响资产规模国内风险资产8437 个关联 IP 2570 个全球风险资产118178 个关联 IP 40666 个影响量级万级覆盖大量企业生产环境大模型调用链路3. 利用条件攻击者持有有效的internal_user 角色 API 密钥目标可访问/key/generate、/user/update端点系统已启用RBAC 角色访问控制功能四、复现情况奇安信威胁情报中心已成功复现该漏洞验证利用流程可稳定实现权限提升PoC 与技术细节已公开攻击门槛低、利用难度小。五、修复方案官方推荐1. 紧急升级版本立即更新至 LiteLLM ≥ 1.83.14官方已发布安全补丁修复权限校验缺陷。2. 升级命令bash运行# pip 升级 pip install --upgrade litellm1.83.14 # 固定版本安装 pip install litellm1.83.143. 官方下载地址https://github.com/BerriAI/litellm/releases/tag/v1.83.14-stable六、临时防护措施暂无法升级时接口访问限制封禁或严格限制/key/generate、/user/update对外访问仅允许可信内网 IP 调用权限最小化缩减 internal_user 角色权限禁用非必要 API 密钥生成功能启用访问审计开启 LiteLLM 日志审计监控异常密钥生成、权限变更行为密钥轮换定期轮换所有 internal_user 及管理员 API 密钥降低泄露风险七、总结与建议CVE-2026-47101 是AI 基础设施层高危漏洞POC 公开、利用简单影响海量 LiteLLM 部署实例。 ✅ 核心动作立即升级至 v1.83.14 及以上版本✅ 辅助动作收紧接口权限、开启审计、定期密钥轮换 建议所有使用 LiteLLM 的开发 / 运维团队快速自查版本完成修复避免权限被非法接管导致业务风险。参考资料https://huntr.com/bounties/8e75edfb-ff05-4e63-bfca-2d93d03fb3b9https://gist.github.com/13ph03nix/9ec616e1fdc77b3673509c60206e827fhttps://www.vulncheck.com/advisories/litellm-privilege-escalation-via-api-key-generation
高危预警|CVE-2026-47101 LiteLLM 权限提升漏洞详解与修复方案
一、漏洞基础信息表格项目详情漏洞名称LiteLLM 权限提升漏洞漏洞编号CVE-2026-47101、QVD-2026-27968公开时间2026-05-20奇安信评级高危CVSS 3.1 分数8.8威胁类型权限提升利用可能性高POC/EXP 状态已公开在野利用未发现漏洞危害攻击者可利用该漏洞将普通 internal_user 权限直接提升为 proxy_admin 管理员权限绕过 RBAC 角色限制完全接管 LiteLLM 代理服务器的管理权限可操控多模型调度、API 密钥、成本监控等核心配置。二、组件与漏洞原理1. 组件说明LiteLLM 是开源大模型统一接入网关 Python SDK兼容 OpenAI 标准 API可统一调度 OpenAI、Anthropic、Google 等 100 大模型广泛用于 AI 应用开发、API 网关、多模型负载均衡、私有化部署场景全球月下载量极高是 AI 基础设施核心组件。2. 漏洞核心原理漏洞根源/key/generate 生成虚拟 API 密钥接口未对 allowed_routes 字段做权限校验接口直接存储用户传入的路由配置不验证路由是否在当前用户权限范围内普通 internal_user 可构造包含管理员专属路由的 API 密钥使用该密钥即可绕过角色限制提权为 proxy_admin获取服务器完整管理权限三、影响范围1. 影响版本LiteLLM 1.83.142. 受影响资产规模国内风险资产8437 个关联 IP 2570 个全球风险资产118178 个关联 IP 40666 个影响量级万级覆盖大量企业生产环境大模型调用链路3. 利用条件攻击者持有有效的internal_user 角色 API 密钥目标可访问/key/generate、/user/update端点系统已启用RBAC 角色访问控制功能四、复现情况奇安信威胁情报中心已成功复现该漏洞验证利用流程可稳定实现权限提升PoC 与技术细节已公开攻击门槛低、利用难度小。五、修复方案官方推荐1. 紧急升级版本立即更新至 LiteLLM ≥ 1.83.14官方已发布安全补丁修复权限校验缺陷。2. 升级命令bash运行# pip 升级 pip install --upgrade litellm1.83.14 # 固定版本安装 pip install litellm1.83.143. 官方下载地址https://github.com/BerriAI/litellm/releases/tag/v1.83.14-stable六、临时防护措施暂无法升级时接口访问限制封禁或严格限制/key/generate、/user/update对外访问仅允许可信内网 IP 调用权限最小化缩减 internal_user 角色权限禁用非必要 API 密钥生成功能启用访问审计开启 LiteLLM 日志审计监控异常密钥生成、权限变更行为密钥轮换定期轮换所有 internal_user 及管理员 API 密钥降低泄露风险七、总结与建议CVE-2026-47101 是AI 基础设施层高危漏洞POC 公开、利用简单影响海量 LiteLLM 部署实例。 ✅ 核心动作立即升级至 v1.83.14 及以上版本✅ 辅助动作收紧接口权限、开启审计、定期密钥轮换 建议所有使用 LiteLLM 的开发 / 运维团队快速自查版本完成修复避免权限被非法接管导致业务风险。参考资料https://huntr.com/bounties/8e75edfb-ff05-4e63-bfca-2d93d03fb3b9https://gist.github.com/13ph03nix/9ec616e1fdc77b3673509c60206e827fhttps://www.vulncheck.com/advisories/litellm-privilege-escalation-via-api-key-generation
