CVE-2025-0628

Nome do Software Vulnerável e Versões Afetadas BerriAI/litellm versão main-latest

Descrição O problema está relacionado à autorização inadequada. Quando um usuário com a função internal user viewer faz login na aplicação, ele recebe uma chave de API com privilégios excessivos. Essa chave permite acesso a todas as funcionalidades de administrador, incluindo endpoints como "/users/list" e "/users/get users". A vulnerabilidade permite a elevação de privilégios dentro da aplicação, permitindo que qualquer conta se torne um administrador proxy.

Recomendações Para a versão main-latest do BerriAI/litellm, considere restringir o acesso aos endpoints /users/list e /users/get users até que uma correção esteja disponível. Como solução temporária, revise e limite os privilégios atribuídos à função internal user viewer para impedir acesso não autorizado à funcionalidade de administrador.