In berriai/litellm version v1.52.1, an issue in proxy_server.py causes the leakage of Langfuse API keys when an error occurs while parsing team settings. This vulnerability exposes sensitive information, including langfuse_secret and langfuse_public_key, which can provide full access to the Langfuse project storing all requests.
CVSS Vector
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:NLitellm
APPLitellm1.52.1
🔵
CHECK WITH VENDOR
No clear patch data available. Check vendor references.
CWE
Related vulnerabilities
CVE-2026-42208CRITICAL9.3⚠ KEVPL ✓ten sam produkt
SQL Injection w LiteLLM umożliwia nieautoryzowany dostęp do bazy danych
CVE-2026-33634CRITICAL9.4⚠ KEVPL ✓ten sam produkt
Atak supply chain na Trivy — złośliwe tagi GitHub Actions i obraz kontenera
CVE-2026-49468CRITICAL9.5PL ✓ten sam produkt
Krytyczna podatność w LiteLLM (AI Gateway) — obejście uwierzytelniania
CVE-2026-35030CRITICAL9.4PL ✓ten sam produkt
LiteLLM: pominięcie uwierzytelnienia JWT przez kolizję klucza cache (Auth Bypass)
CVE-2024-5751CRITICAL9.8PL ✓ten sam produkt
RCE w BerriAI/litellm poprzez endpoint /config/update