PT-2026-56543 · Litellm · Litellm

Publicado

2026-07-08

·

Atualizado

2026-07-08

·

CVE-2026-59820

CVSS v4.0

6.1

Média

VetorAV:N/AC:L/AT:P/PR:L/UI:N/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N
Nome do Software Vulnerável e Versões Afetadas LiteLLM versões anteriores a 1.83.7-stable
Descrição O LiteLLM, um servidor proxy utilizado para chamar APIs de LLM, contém uma falha no seu processo de extração de arquivos de Skills. Um usuário autenticado com acesso às rotas da API de LLM ou uma chave permitida para usar /v1/skills, anthropic routes ou llm api routes pode fazer o upload de um arquivo ZIP especialmente criado. Este arquivo pode conter entradas de path traversal, que permitem que arquivos sejam gravados fora do diretório de extração ou de staging pretendido. Path traversal é uma técnica utilizada para acessar arquivos e diretórios que estão armazenados fora da pasta raiz da web. Este problema foi explorado em incidentes reais.
Recomendações Atualizar para a versão 1.83.7-stable.

Correção

Path traversal

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-59820

Produtos afetados

Litellm