LiteLLM, gateway proxy open source per modelli LLM, � affetto da una catena di tre vulnerabilit� critiche che consente a un account con permessi ordinari di scalare fino all'accesso completo da amministratore e di eseguire codice arbitrario sul server. Obsidian Security ha scoperto e divulgato i dettaglin tecnici della catena, con un grado di severit� valutato a CVSS 9.9. Tre CVE in sequenza: come si costruisce la scalata CVE-2026-47101 � un a falla di authorization bypass. Un utente regolare genera una chiave API virtuale: LiteLLM memorizza il campo allowed_routes senza convalidarlo rispetto al ruolo effettivo dell'account. Un account privo di privilegi admin pu� cos� creare una chiave con accesso wildcard a tutte le route, incluse quelle riservate all'amministratore. CVE-2026-47102 � invece una "classica" falla di privilege escalation: l'endpoint /user/update non applica restrizioni sui campi modificabili dall'utente sul proprio record. Una chiamata di auto-aggiornamento con user_role: "proxy_admin" viene accettata e salvata, promuovendo il chiamante a proxy admin completo. VulnCheck, che ha assegnato il CVE, attribuisce a questa falla un punteggio di 8.7 (CVSS 4.0) e 8.8 (CVSS 3.1). CVE-2026-40217 chiude la catena con un sandbox escape nel Custom Code Guardrail. Il codice Python fornito dall'amministratore viene compilato ed eseguito tramite exec() senza che venga filtrato a livello sorgente. Quando exec() riceve un dizionario globals privo di __builtins__, Python inietta silenziosamente il modulo builtins completo, consegnando al codice __import__, open ed eval. La catena completa espone la master key, la salt key che decripta le credenziali memorizzate e l'URL del database. Tutte le provider key configurate diventano accessibili: OpenAI, Anthropic, Gemini, Bedrock, Azure e tutto il resto. La demo contro Claude Code: una parola, una shell Obsidian ha dimostrato l'attacco contro Claude Code instradato attraverso un proxy LiteLLM compromesso. Il meccanismo non � prompt injection: l'attaccante usa il sistema di callback integrato di LiteLLM, un punto di estensione che si attiva su ogni richiesta e non compare nell'interfaccia di amministrazione. Nella demo, lo sviluppatore digita una sola parola e l'attaccante ottiene una reverse shell sulla macchina della vittima. Il contesto di questi mesi non � rassicurante. A marzo 2026, un supply-chain compromise ha compromesso due release di LiteLLM su PyPI. Ad aprile, una SQL injection critica � stata sfruttata entro 36 ore dalla divulgazione. Un quarto problema, CVE-2026-42271, riguarda il machinery stdio-MCP: consentiva ai chiamanti di avviare sottoprocessi attraverso gli endpoint di anteprima MCP di LiteLLM; � stato sfruttato in the wild ed � entrato nel catalogo KEV della CISA questo mese. BerriAI, il maintainer, ha incluso il set completo di correzioni in v1.83.14-stable, rilasciata il 2 maggio 2026. La raccomandazione � di aggiornare a questa versione o successiva, verificare ogni account con ruolo proxy_admin trattandolo come accesso a livello di host, rivedere le Custom Code Guardrail e ruotare provider key e credenziali del database se si sospetta un'esposizione.