LiteLLM身份认证绕过漏洞(CVE-2026-49468) 复现Poc

前言

LiteLLM 是一个开源的 LLM（大语言模型）统一代理和 SDK，它的目标是让开发者用 OpenAI 兼容的接口调用各种不同的 AI 模型，而不需要为每家模型厂商编写不同的代码。

漏洞信息

LiteLLM 代理存在一个 Host 头解析漏洞，在特定场景下可能允许未经身份验证的攻击者访问本应受保护的管理路由。认证逻辑位于 litellm/proxy/auth/auth_utils.py 的 get_request_route() 函数中，该函数从 request.url.path 派生待校验的路由信息。然而，Starlette 框架在处理请求时会依据 Host 头重建该路径。攻击者可利用特制的 Host 头，使认证模块所评估的路由与实际由 FastAPI 分发的路由不一致，从而绕过认证机制，实现未授权访问。

利用条件

1. LiteLLM< 1.84.0
2. 未使用CDN、nginx等反向代理设备（上游组件会校验/规范化 Host header）

漏洞POC

curl -i -H "Host: xx.xx.xx.xx/?x=1" http://xxx.xxx:xxx/get/internal_user_settings