Plateforme
python
Composant
litellm
Corrigé dans
1.83.1
1.83.0
La vulnérabilité CVE-2026-35030 est un contournement d'authentification critique dans la bibliothèque litellm, affectant les versions inférieures ou égales à 1.9.dev0. Elle exploite une faille dans la gestion du cache des tokens OIDC JWT, permettant à un attaquant non authentifié d'usurper l'identité d'un utilisateur légitime. Bien que l'option d'authentification JWT ne soit pas activée par défaut, les instances qui l'utilisent sont particulièrement vulnérables.
Cette vulnérabilité permet à un attaquant non authentifié d'accéder aux ressources et aux données auxquelles l'utilisateur usurpé a accès. L'attaquant peut potentiellement exécuter des actions en son nom, compromettant ainsi la confidentialité, l'intégrité et la disponibilité du système. La clé de cache utilisée (token[:20]) est susceptible de collisions pour les tokens générés avec le même algorithme de signature, facilitant l'usurpation d'identité. Le risque est significatif pour les environnements où l'authentification JWT/OIDC est activée, car elle permet un accès non autorisé sans nécessiter de mots de passe ou d'autres informations d'identification.
Cette vulnérabilité a été rendue publique le 2026-04-03. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la simplicité de l'exploitation potentielle et la gravité de l'impact justifient une attention particulière. La vulnérabilité n'est pas répertoriée sur KEV au moment de la rédaction. Un proof-of-concept public pourrait être publié, augmentant le risque d'exploitation.
Organizations using litellm with JWT/OIDC authentication enabled, particularly those with custom JWT generation logic or relying on the library for critical access control. Shared hosting environments where multiple users share the same litellm instance and JWT authentication is enabled are also at increased risk.
• python / supply-chain:
import jwt
# Check for JWT authentication enabled
with open('/path/to/litellm_config.py', 'r') as f:
for line in f:
if 'enable_jwt_auth' in line and 'True' in line:
print('JWT authentication is enabled. Investigate further.')• generic web:
curl -I https://your-litellm-endpoint/ | grep 'Authorization: Bearer'• generic web:
# Check access logs for unusual authentication attempts
grep 'Authorization: Bearer' /var/log/nginx/access.logdisclosure
Statut de l'Exploit
EPSS
0.08% (percentile 25%)
La mitigation principale consiste à mettre à jour litellm vers la version 1.83.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, désactivez temporairement l'authentification JWT/OIDC. En alternative, examinez attentivement la configuration de votre cache OIDC JWT pour vous assurer que les clés de cache sont suffisamment uniques et résistantes aux collisions. Surveillez les logs pour détecter des tentatives d'accès suspectes ou des tokens JWT inhabituels. Après la mise à jour, vérifiez que l'authentification JWT fonctionne correctement et que les clés de cache sont générées de manière sécurisée.
Mettez à jour LiteLLM à la version 1.83.0 ou supérieure pour atténuer la vulnérabilité de contournement de l'authentification. Cette mise à jour corrige la façon dont les clés de cache OIDC sont gérées, empêchant les attaquants d'exploiter la collision de tokens pour accéder à des ressources privilégiées.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-35030 is a critical vulnerability in litellm versions ≤1.9.dev0 that allows attackers to bypass JWT authentication by crafting tokens that match cached user identities, potentially gaining unauthorized access.
You are affected if you are using litellm version 1.9.dev0 or earlier and have JWT/OIDC authentication enabled. Most instances are not affected as JWT authentication is not enabled by default.
Upgrade to version 1.83.0 or later. Alternatively, disable JWT authentication if it's not essential for your application.
There is currently no evidence of active exploitation in the wild, and no public proof-of-concept code has been released.
Refer to the litellm GitHub repository for updates and advisories: [https://github.com/litellm/litellm](https://github.com/litellm/litellm)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.