Vulnerabilidades en LiteLLM Permiten Toma de Control de Servidores AI
Publicado el
Vulnerabilidades Críticas en LiteLLM
Una cadena de vulnerabilidades en LiteLLM, un gateway de inteligencia artificial de código abierto ampliamente utilizado, permite a usuarios con privilegios bajos tomar el control total de los servidores. Investigadores de Obsidian Security han identificado que al explotar tres CVE diferentes, un usuario con un cuenta de bajo privilegio puede alcanzar el nivel de administrador, ejecutando código en el servidor.
LiteLLM actúa como intermediario para más de 100 proveedores de modelos de inteligencia artificial, facilitando la interacción a través de una interfaz compatible con OpenAI. La explotación de estas vulnerabilidades permite a un atacante acceder a claves maestras, secretos para descifrar credenciales almacenadas y a todo el tráfico de datos que transita por el servidor.
Obsidian ha calificado esta cadena de vulnerabilidades con un CVSS de 9.9, considerándola de grave impacto. El mantenedor de LiteLLM, BerriAI, ha lanzado una actualización que corrige estas fallas, disponible desde el 2 de mayo con la versión v1.83.14-stable. Se recomienda actualizar a esta versión o posterior para mitigar el riesgo.
Detalle de las Vulnerabilidades
Las tres vulnerabilidades que componen esta cadena son:
1. CVE-2026-47101: Esta vulnerabilidad permite un bypass de autorización. Cuando un usuario regular genera una clave API virtual, LiteLLM almacena el campo `allowed_routes` proporcionado por el llamador sin verificarlo contra el rol del usuario. Esto permite que un usuario no administrador pueda crear una clave con rutas permitidas que abarcan todas las rutas, incluyendo aquellas restringidas a administradores.
2. CVE-2026-47102: Se trata de una escalada de privilegios. El endpoint `/user/update` permite a los usuarios editar sus propios registros sin restricciones sobre qué campos pueden modificar. Así, un usuario puede autoconcederse el rol de administrador simplemente actualizando su rol a `proxy_admin`.
3. CVE-2026-40217: Esta es una escapatoria del sandbox en el Custom Code Guardrail, que permite la ejecución de código Python sin filtros adecuados. Al ejecutar código sin una supervisión adecuada, un atacante puede obtener acceso a un shell inverso.
La explotación de esta cadena de vulnerabilidades puede resultar en la exposición de claves de configuración, incluyendo las de proveedores como OpenAI, Anthropic, Gemini, Bedrock y Azure. Además, los datos sensibles, como información personal identificable (PII), código fuente y secretos internos, pueden ser leídos y potencialmente alterados.
Riesgos Asociados
El verdadero riesgo no se limita a la lectura de datos, sino a la capacidad de alterarlos. Dado que LiteLLM se sitúa entre un agente de IA y el modelo, un compromiso permite modificar las respuestas durante su transmisión. Esto se demostró con una prueba en la que un atacante interceptó y manipuló una respuesta de un modelo de IA.
Obsidian también advirtió sobre un camino intencionado de ejecución de código para administradores que utilizan MCP (Model Context Protocol). Aunque las actualizaciones corrigen las vulnerabilidades, el diseño permite que un administrador registre servidores que pueden lanzar procesos locales, lo que plantea un riesgo inherente.
Acciones Recomendadas
Se aconseja a los usuarios de LiteLLM que actualicen a la versión v1.83.14-stable o superior, la primera que incluye el conjunto completo de correcciones. Posteriormente, es esencial realizar una auditoría de todas las cuentas y permisos para asegurar que no haya configuraciones vulnerables.
LiteLLM ha enfrentado desafíos previos, incluyendo un compromiso de la cadena de suministro que afectó a dos de sus versiones y una inyección SQL crítica explotada en menos de 36 horas tras su divulgación. La posición de LiteLLM como gateway lo convierte en un objetivo atractivo para los atacantes, lo que refuerza la necesidad de mantener una vigilancia constante y aplicar las actualizaciones de seguridad necesarias.