Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
5326
)
-
▼
junio
(Total:
898
)
-
EE. UU. ofrece hasta 10M$ por información que ayud...
-
Nuevo ataque de Claude Code permite control total ...
-
Base de datos de vulnerabilidades de GitHub alcanz...
-
Explotan vulnerabilidad crítica de Oracle E-Busine...
-
Vulnerabilidades de Synology MailPlus Server permi...
-
Microsoft advierte que las descripciones manipulad...
-
Gemini supera a ChatGPT con imágenes gratis para t...
-
Claude Science acelera el descubrimiento científico
-
IA de Google crea imágenes en 4 segundos
-
Kodi 22 Piers llega a beta
-
Meta pierde juicio por impacto de redes en menores
-
Vulnerabilidad crítica en Gemini CLI permite ejecu...
-
Vulnerabilidades de WolfSSL exponen miles de millo...
-
Vulnerabilidad RCE de Microsoft 365 explotada con ...
-
Publicado PoC de fallo en NTLM que permite acceso ...
-
Vulnerabilidades críticas de Dell Wyse permiten ej...
-
Roban sesiones de WhatsApp Web para estafas a dire...
-
Publicado PoC de vulnerabilidad RCE en Splunk Secu...
-
Vulnerabilidad crítica en Kemp LoadMaster permite ...
-
Extensión maliciosa de Perplexity para Chrome inte...
-
Kali Linux 2026.2: GNOME 50 y Plasma 6.6
-
Bing Search de ‘ManageEngine OpManager’ distribuye...
-
Vulnerabilidad de Oracle E-Business Suite CVE-2026...
-
ISPs exigen cuentas a Tebas por bloqueos IPTV
-
Microsoft crea un filtro de seguridad para evitar ...
-
Desarrolladores de Mozilla logran instalar malware...
-
Elon time: el retraso de Musk hacia Marte
-
Mod hace que el Steam Controller vuelva solo a su ...
-
Akrites: nuevo frente contra ataques de IA al códi...
-
Gemini permite buscar una app que haga algo especí...
-
Organic Maps: La alternativa a Google Maps que res...
-
Microsoft elimina 119 extensiones de Edge que ocul...
-
Chrome se integra mejor con Wallet para autocomple...
-
Cae masivamente la piratería de fútbol online
-
EE. UU. incauta cientos de dominios de streaming i...
-
OpenAI lanza GPT 5.6 y promete mayor seguridad
-
Turla, vinculado a Rusia, usa infraestructura comp...
-
Los drivers AMD Adrenalin en Windows 10 siguen pre...
-
La UE encarece compras en AliExpress, Shein y Temu
-
ClawHub Skills expone agentes de IA a puertas tras...
-
Dron sigue a F1 a 300 km/h
-
The New York Times demanda a Microsoft y OpenAI po...
-
Mageia 10: distro Linux sucesora de Mandriva
-
Demandan a Samsung, SK Hynix y Micron por los prec...
-
WhatsApp implementará nombres de usuario para prot...
-
Netflix endurece el control de cuentas compartidas
-
Senador acusa a Tim Cook de priorizar beneficios s...
-
IA china Zhipu igualaría a Claude Mythos en detecc...
-
CachyOS lanza Hyprland Noctalia y Shelly para AUR
-
Nissan advierte que un hackeo a Oracle PeopleSoft ...
-
Hacienda de España usará IA israelí para potenciar...
-
Agentes míticos generados por LLM permiten herrami...
-
Usan RemotePC y PowerShell para desplegar el ranso...
-
EEUU condiciona el lanzamiento de GPT-5.6 Sol
-
PowerPoint busca presentaciones perfectas
-
CNMC podría encarecer el despliegue de fibra de op...
-
OpenAI lanzó GPT-5.6 Sol con acceso limitado y pro...
-
Crea un Windows portátil con Windows To Go
-
Paquetes de Go y npm comprometidos utilizan tareas...
-
RedAmon: IA que encadena reconocimiento, explotaci...
-
Consiguen hacer funcionar Windows 11 en un PC de l...
-
Casi cien drones caen en un show aéreo en Australia
-
El nuevo malware SharkLoader despliega Cobalt Stri...
-
Windows 11: nueva recuperación de pago
-
El FBI advierte que rusos buscan las claves de rec...
-
Nuevo ataque de secuestro de buckets redirige dato...
-
Ucrania denuncia que el servicio de inteligencia r...
-
Xbox Series S iguala precio de PS5
-
IP Crawl, la colección de webcams abiertas que no ...
-
Chrome cifrará tus pestañas abiertas
-
Una guía para elegir el mejor DNS público; práctic...
-
Trump bloquea el acceso a GPT-5.6
-
Amazon: IA de Mythos afecta a Fable 5 en AWS
-
OpenAI presenta GPT-5.6 Sol con acceso restringido...
-
Se prevé otro gran aumento de precio de la memoria...
-
Eustella: el chatbot europeo frente a ChatGPT
-
Las placas Z990 tendrán 3 conectores de 8 pines pa...
-
75 juegos PC: pocos requisitos y buenos gráficos
-
Nobel de Medicina arremete contra Elon Musk y su p...
-
La IA aumenta la desigualdad laboral
-
Medios demandan a Microsoft y OpenAI por IA
-
Ford falla con IA y recontrata ingenieros
-
Fallo en Amazon Q permitía ejecutar código y robar...
-
Stremio 5 ya disponible para Linux
-
STIM Machine, así es el PC que imita la forma de l...
-
Nuevo exploit de Linux permite acceso root al sistema
-
Vulnerabilidad crítica en python.org permitía fals...
-
Hackeo en Leroy Merlin: miles de clientes expuestos
-
Activa la VPN de Firefox
-
LastPass sufre nueva filtración de datos
-
FortiBleed: el ataque a firewalls FortiGate que ro...
-
Mythos detecta Squidbleed, una fuga de memoria que...
-
Anthropic lanza Claude Tag: el compañero de IA lle...
-
Habilidad fraudulenta de agentes de IA supera esca...
-
GitHub actualiza actions/checkout para bloquear pa...
-
Casi la mitad de las apps de LG y Samsung venden t...
-
CISA advierte de vulnerabilidad explotada en Ubiqu...
-
Usan Velociraptor, Cloudflare, Zoho y VS Code para...
-
Nueva navaja suiza para hackers en GitHub
-
Operadora japonesa expone 14,2 millones de credenc...
-
SteamOS llegará a todos los PC
-
Las RTX 50 de análisis se empiezan a quemar: Club3...
-
El Departamento de Justicia incauta cuenta de Huio...
-
Claude Fable 5 escribió código del kernel de Windo...
-
Wikipedia expulsa permanentemente a su cofundador ...
-
Kit de phishing AWS AiTM roba credenciales y MFA e...
-
Shai-Hulud roba credenciales de desarrolladores
-
Caducó certificado de Secure Boot de Windows: mile...
-
Algoritmo suizo que quitará el carné por no respet...
-
Backdoor Mistic se autodestruye y se vincula a un ...
-
Polonia desmantela banda de SIM-swapping responsab...
-
CISA advierte sobre vulnerabilidad de Cisco Unifie...
-
Los navegadores más raros probados
-
Iberia estrena su acceso gratuito a Internet vía S...
-
El CEO de Epic Games dice que las herramientas de ...
-
Google detalla STOCKSTAY, la nueva puerta trasera ...
-
10 webs de eBooks gratis y legales
-
Fallo de seguridad en Apache Tomcat Tribes
-
Firma china de ciberseguridad asegura haber creado...
-
Nuevo exploit de COW en Linux permite acceso root ...
-
Qualcomm Dragonfly C1000: así es la CPU con más de...
-
OpenAI retrasaría ChatGPT 5.6 por pedido de Trump
-
Windows 10 tendrá soporte hasta 2027
-
Extensión maliciosa de Edge ejecuta código en sist...
-
Marketplace OpenClaw expone agentes de IA a malwar...
-
Vulnerabilidades en IA de Red-Team permiten robo d...
-
Usan Cisco y Google para propagar malware SharkLoader
-
Campaña de LokiBot roba credenciales con JScript, ...
-
-
▼
junio
(Total:
898
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
1455
)
vulnerabilidad
(
1352
)
hardware
(
786
)
software
(
741
)
Malware
(
707
)
google
(
700
)
privacidad
(
612
)
Windows
(
521
)
ransomware
(
489
)
android
(
436
)
cve
(
365
)
linux
(
345
)
exploit
(
317
)
tutorial
(
299
)
manual
(
281
)
nvidia
(
275
)
hacking
(
229
)
WhatsApp
(
173
)
ssd
(
163
)
Wifi
(
131
)
ddos
(
128
)
app
(
122
)
twitter
(
120
)
cifrado
(
119
)
programación
(
103
)
herramientas
(
80
)
youtube
(
79
)
Networking
(
73
)
firefox
(
72
)
sysadmin
(
71
)
firmware
(
64
)
office
(
62
)
adobe
(
60
)
Kernel
(
49
)
hack
(
48
)
antivirus
(
46
)
javascript
(
45
)
apache
(
44
)
juegos
(
42
)
contraseñas
(
39
)
multimedia
(
35
)
cms
(
34
)
eventos
(
32
)
flash
(
32
)
MAC
(
30
)
anonymous
(
28
)
ssl
(
24
)
Forense
(
20
)
conferencia
(
20
)
SeguridadWireless
(
17
)
documental
(
17
)
Debugger
(
14
)
Rootkit
(
14
)
lizard squad
(
14
)
auditoría
(
13
)
metasploit
(
13
)
técnicas hacking
(
13
)
Virtualización
(
11
)
delitos
(
11
)
reversing
(
10
)
adamo
(
9
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Diez sitios web permiten conseguir eBooks gratuitos de forma legal como complemento ideal para los lectores de libros electrónicos.
-
Selección de 75 juegos para PC con pocos requisitos y buenos gráficos, ideales para disfrutar en equipos antiguos sin necesidad de actuali...
-
Leroy Merlin España ha sufrido un hackeo en su web que ha dejado expuestos los datos personales de más de 50.000 clientes , incluyendo DNI...
Cadena de vulnerabilidades en LiteLLM permite a usuarios con pocos privilegios tomar el control de servidores de AI Gateway
martes, 16 de junio de 2026
|
Publicado por
el-brujo
|
Editar entrada
Investigadores de Obsidian Security descubrieron que una cuenta de bajos privilegios en LiteLLM puede obtener control total del servidor mediante la combinación de tres vulnerabilidades críticas. Esto permite a un atacante robar claves de API, leer datos sensibles y ejecutar código remoto para comprometer máquinas de desarrolladores. La solución es actualizar a la versión v1.83.14-stable o posterior y auditar los permisos de administrador.
Una cuenta predeterminada de bajos privilegios en un proxy de LiteLLM puede escalar a administrador total y ejecutar código en el servidor encadenando tres vulnerabilidades, según revelaron investigadores de Obsidian Security.
LiteLLM es una pasarela de IA de código abierto ampliamente desplegada que gestiona llamadas a más de 100 proveedores de modelos detrás de una interfaz compatible con OpenAI.
La toma de control de un servidor expone cada clave de proveedor que posea, los secretos que descifran sus credenciales almacenadas y cada prompt y respuesta que pase a través de él.
Obsidian califica la cadena completa con un CVSS 9.9, en el rango Crítico. BerriAI, el mantenedor, incluyó el conjunto completo de correcciones en LiteLLM v1.83.14-stable, que GitHub lista como lanzada el 2 de mayo. Actualiza a esa versión o posterior para cerrar la cadena de tres CVE.
Los tres errores
El primer enlace es CVE-2026-47101, un bypass de autorización. Cuando un usuario regular (internal_user) genera una clave API virtual, LiteLLM almacena el campo allowed_routes proporcionado por el llamador sin verificarlo contra el rol del usuario.
Se supone que el campo debe restringir lo que una clave puede hacer. En su lugar, el proxy también lo trata como una concesión de respaldo, por lo que un no administrador puede crear una clave con allowed_routes: ["/*"], un comodín que llega a todas las rutas, incluidas las exclusivas de administrador. Esta misma escritura sin verificar aparece en otros endpoints de gestión de claves, razón por la cual la corrección requirió tres pull requests para implementarse.
Con la puerta de rutas saltada, los controladores detrás de ella se vuelven accesibles. Varios de ellos asumen que la puerta ya ha realizado el filtrado, lo que abre dos caminos.
Uno es CVE-2026-47102, escalada de privilegios. El endpoint /user/update permite que un usuario edite su propio registro, pero no restringe qué campos puede escribir. Se acepta y guarda una auto-actualización con user_role: "proxy_admin", promoviendo al llamador a administrador total del proxy. Un org_admin puede acceder a este endpoint a través de una ruta de código legítima e intencionada sin necesidad de bypass; un internal_user predeterminado llega a él después de CVE-2026-47101.
VulnCheck, que asignó el CVE, lo califica con 8.7 bajo CVSS 4.0 y 8.8 bajo 3.1.
El otro es CVE-2026-40217, un escape de sandbox en el Custom Code Guardrail, que compila y ejecuta Python proporcionado por el administrador. Los endpoints de producción ejecutaban el código a través de exec() sin filtrado a nivel de fuente. Cuando exec() recibe un diccionario de globales sin __builtins__, Python inyecta silenciosamente el módulo builtins completo, lo que otorga al código __import__, open y eval. Una carga útil simple llamando a os.system fue entonces suficiente para obtener una reverse shell.
Una ruta separada en el endpoint de patio de juegos /guardrails/test_custom_code, encontrada independientemente por X41 D-Sec, derrotó una lista de denegación regex mediante la reescritura de bytecode en tiempo de ejecución. Ambas terminaron en la ejecución de código en el lado del servidor.
Qué obtiene un atacante
LiteLLM se encuentra en un punto crítico, por lo que el alcance es amplio. Una cadena completa expone la clave maestra, la clave de sal que descifra las credenciales almacenadas y la URL de la base de datos. También expone cada clave de proveedor configurada, para OpenAI, Anthropic, Gemini, Bedrock, Azure y el resto.
Las claves en la configuración o el entorno están en texto plano; las claves en la base de datos están cifradas pero son recuperables con la clave de sal. Todo lo enviado a través de la pasarela, prompts y respuestas, se vuelve legible, que en despliegues reales es donde terminan los PII, código fuente, tickets internos y secretos pegados.
Si el proxy también funciona como una pasarela de Model Context Protocol (MCP) o de agentes, los tokens OAuth y las credenciales de herramientas también están en el alcance.
El riesgo más agudo no es lo que un atacante lee, sino lo que puede reescribir. La pasarela se sitúa en la línea entre un agente de IA y el modelo, por lo que un compromiso permite alterar las respuestas en tránsito.
Obsidian demostró esto contra Claude Code enrutado a través de un proxy comprometido. Esto no es una inyección de prompts. En lugar de persuadir al modelo para que se comporte mal, el atacante utiliza el mecanismo de callback integrado de LiteLLM, un punto de extensión que se dispara en cada solicitud y que nunca aparece en la interfaz de administrador. El callback intercambia la respuesta del modelo por una llamada a herramienta falsificada y reescribe el contexto de verificación de seguridad para que la acción parezca aprobada.
En la demo, el desarrollador escribe una palabra, "hello", y el atacante lanza una reverse shell en la máquina del desarrollador.
Independientemente de la cadena, LiteLLM ofrece a un proxy_admin una ruta de ejecución de código intencionada: su soporte de MCP permite a un administrador registrar servidores MCP stdio que el proxy lanza como subprocesos locales. Esto es una decisión de diseño más que un error, y los parches no lo cambian, por lo que llegar a ser administrador es efectivamente llegar a la ejecución de código.
Obsidian reprodujo una reverse shell de esta manera en v1.88.0. Un error genuino en la misma maquinaria stdio-MCP, CVE-2026-42271, permitió a los llamadores generar subprocesos a través de los endpoints de vista previa de MCP de LiteLLM; fue explotado en entornos reales y añadido al catálogo KEV de CISA a principios de este mes.
Nada de esto es el primer tropiezo de LiteLLM este año. En marzo, un compromiso de la cadena de suministro instaló un backdoor en dos versiones de LiteLLM en PyPI, y en abril, una inyección SQL crítica fue explotada a las 36 horas de su divulgación.
Obsidian presenta la cadena aquí como un fallo divulgado con una demo funcional, no como una explotación vista en la naturaleza, pero la posición del proxy sigue convirtiéndolo en un objetivo.
Qué hacer
Actualiza a v1.83.14-stable o posterior, la primera versión con el conjunto completo de correcciones. Luego audita. Vuelve a verificar cada cuenta que tenga el rol de proxy_admin y trata ese rol como acceso a nivel de host. Revisa cada Custom Code Guardrail en el proxy.
Comprueba los callbacks cargados desde config.yaml bajo litellm_settings.callbacks, ya que esos nunca aparecen en la consola y son exactamente donde un atacante post-RCE se escondería. Verifica la integridad del código desplegado, no solo la configuración. Si sospechas de una exposición, rota las claves de proveedor, las credenciales de la base de datos y cualquier token MCP almacenado.
Un proxy comprometido no solo filtra datos. Se sitúa entre el agente y el modelo y puede falsificar las respuestas sobre las que el agente actúa. La cadena que lleva a un atacante hasta allí es la confianza mal depositada en cada capa: la puerta de rutas confió en el campo proporcionado por el llamador, los controladores confiaron en la puerta de rutas, y nadie verificó realmente nada.
Fuente:
THN
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest


Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.