PT-2026-56543 · Litellm · Litellm
Publicado
2026-07-08
·
Atualizado
2026-07-08
·
CVE-2026-59820
CVSS v4.0
6.1
Média
| Vetor | AV:N/AC:L/AT:P/PR:L/UI:N/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
LiteLLM versões anteriores a 1.83.7-stable
Descrição
O LiteLLM, um servidor proxy utilizado para chamar APIs de LLM, contém uma falha no seu processo de extração de arquivos de Skills. Um usuário autenticado com acesso às rotas da API de LLM ou uma chave permitida para usar
/v1/skills, anthropic routes ou llm api routes pode fazer o upload de um arquivo ZIP especialmente criado. Este arquivo pode conter entradas de path traversal, que permitem que arquivos sejam gravados fora do diretório de extração ou de staging pretendido. Path traversal é uma técnica utilizada para acessar arquivos e diretórios que estão armazenados fora da pasta raiz da web. Este problema foi explorado em incidentes reais.Recomendações
Atualizar para a versão 1.83.7-stable.
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Litellm