CVE-2026-35029

Nome do Software Vulnerável e Versões Afetadas LiteLLM versões anteriores a 1.83.0

Descrição LiteLLM é um servidor proxy para APIs LLM. O endpoint da API /config/update não aplicava autorização de função de administrador, permitindo que usuários autenticados modificassem configurações de proxy e variáveis de ambiente. Isso poderia levar à execução remota de código registrando manipuladores de endpoint pass-through personalizados apontando para código Python controlado por um invasor, lendo arquivos arbitrários do servidor através do endpoint /get image manipulando a variável UI LOGO PATH e assumindo o controle de contas privilegiadas sobrescrevendo as variáveis de ambiente UI USERNAME e UI PASSWORD. O endpoint agora requer a função proxy admin.

Recomendações Atualize para a versão 1.83.0 ou posterior.