文章总结： LiteLLM开源库被披露存在三个高危漏洞：CVE-2026-35030（CVSS9.4）因JWT缓存键仅使用前20字符导致OIDC身份验证绕过；用户管理模块存在哈希传递攻击风险，允许通过泄露的SHA-256哈希值提升权限；CVE-2026-35029（CVSS8.7）配置端点未校验管理员角色，可导致RCE和任意文件读取。维护者已在v1.83.0版本修复，建议立即升级或临时禁用OIDC缓存并限制API密钥分发。 综合评分： 85 文章分类： 漏洞分析,WEB安全,应用安全,安全工具,解决方案

LiteLLM 遭受攻击：三重威胁漏洞使 AI 网关面临全面接管风险

sec随谈 sec随谈

sec随谈

2026年4月14日 08:54 北京

在小说阅读器读本章

去阅读

LiteLLM 是一个广受欢迎的开源库，它为超过 100 种大型语言模型 (LLM)（例如 OpenAI 和 Anthropic）提供统一的接口。然而，该库近日曝出一系列严重的安全漏洞。研究人员在一系列安全公告中详细阐述了三个不同的缺陷，如果这些缺陷结合起来，攻击者就可以绕过身份验证、窃取凭据，甚至执行任意代码。

这些漏洞中最严重的漏洞CVSS 评分为 9.4，这意味着依赖该工具管理其 AI 基础设施的组织需要立即进行修补。

评级最高的漏洞，编号为CVE-2026-35030，涉及 LiteLLM 处理 OpenID Connect (OIDC) 身份验证方式中的一个严重冲突。启用 JWT 身份验证后，系统会使用缓存来加速用户信息查找。然而，系统并没有使用完整的令牌，而是仅使用前 20 个字符作为缓存键。

使用相同签名算法创建的 JWT 标头通常会产生相同的前 20 个字符。未经身份验证的攻击者可以构造一个与合法用户缓存的 20 个字符前缀相匹配的令牌。

一旦缓存命中，攻击者就能获得该合法用户的身份和权限。虽然此配置默认情况下未启用，但它对使用 JWT/OIDC 身份验证的部署构成灾难性风险。

即使未使用 OIDC，LiteLLM 的内部用户管理也面临哈希传递身份验证绕过问题，导致仅通过三个 HTTP 请求即可完全提升权限。

密码使用未加盐的 SHA-256 哈希值存储，这使得它们很容易成为彩虹表攻击的目标。多个 API 端点（包括 /user/info 和 /spend/users）会将这些密码哈希值泄露给任何已认证的用户，无论其角色如何。

经查，/v2/login 端点接受原始 SHA-256 哈希值作为有效密码，而无需重新哈希处理。这使得已通过身份验证的用户能够简单地从 API 响应中“抓取”其他用户的哈希值，并使用该哈希值直接以该用户的身份登录——这是一种典型的哈希传递攻击。

最后，研究人员在 /config/update 端点中发现了一个严重的权限提升漏洞（ CVE-2026-35029，CVSS 8.7）。该端点控制着核心代理设置，但未能强制执行仅限管理员访问的机制。

任何已认证的用户都可以利用这一漏洞：

• 注册指向攻击者控制的 Python 代码的自定义处理程序，以实现远程代码执行 (RCE)。
• 通过操作 UI_LOGO_PATH 变量读取服务器上的任意文件。
• 覆盖 UI_USERNAME 和 UI_PASSWORD 等环境变量，以获取特权帐户的控制权。

LiteLLM 的维护人员已迅速采取行动解决这些问题。强烈建议用户立即升级到v1.83.0 版本以应用以下修复：

• OIDC 修复：缓存键现在使用 JWT 令牌的完整哈希值，而不是 20 个字符的切片。
• 密码机制全面升级：密码现在使用强大的 scrypt 算法和随机盐值进行哈希处理。此外，所有 API 响应中的哈希值都将被移除。
• 配置锁定：/config/update 端点现在严格要求 proxy_admin 角色。

如果无法立即更新，安全团队建议禁用 OIDC 用户信息缓存并严格限制 API 密钥的分发。

参考链接：

https://github.com/BerriAI/litellm/security/advisories/GHSA-jjhc-v7c2-5hh6

https://github.com/BerriAI/litellm/security/advisories/GHSA-53mr-6c8q-9789

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈 sec随谈《LiteLLM 遭受攻击：三重威胁漏洞使 AI 网关面临全面接管风险》