关于LiteLLM权限提升漏洞（CVE-2026-47101）的预警提示

发布时间:2026-05-28

作者:

浏览次数:10

LiteLLM是一款开源大语言模型统一接入网关与PythonSDK，可通过兼容 OpenAI的标准API接口，统一调度OpenAI、Anthropic、Google等100+种大模型服务，广泛用于AI应用开发、API网关、多模型负载均衡、密钥管理与成本监控场景

近日，监测到官方修复LiteLLM权限提升漏洞（CVE-2026-47101），该漏洞源于/key/generate接口在创建虚拟API密钥时，未对allowed_routes字段做权限校验，直接存储用户指定的路由配置，未验证这些路由是否在当前用户的权限范围内。攻击者可利用该漏洞，通过构造包含管理员专属路由的API密钥，绕过用户本身的角色限制，将普通内部用户（internal_user）权限提升至管理员（proxy_admin），从而完全接管代理服务器的管理权限。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

LiteLLM < 1.83.14

三、修复建议

官方已发布安全补丁，请及时更新至安全版本：

LiteLLM >= 1.83.14