LiteLLM是一款开源大语言模型统一接入网关与Python SDK,可通过兼容OpenAI的标准API接口,统一调度OpenAI、Anthropic、Google等100+种大模型服务。
近日,监测到官方修复LiteLLM远程代码执行漏洞(CVE-2026-42203),由于POST/prompts/test接口接收用户提交的模板后未进行沙箱防护直接渲染。攻击者持有有效API密钥即可构造恶意模板,在LiteLLM Proxy进程内执行任意代码,窃取敏感信息并可能控制宿主服务器。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
1.80.5 <= LiteLLM <= 1.83.14
三、修复建议
官方已发布安全补丁,请及时更新至安全版本:
LiteLLM >= 1.84.0-rc.1