Die Schwachstelle steckt in der Schlüsselverwaltung der KI-Proxy-Software LiteLLM. Dort darf ein angemeldeter Benutzer mit der internen Standardrolle (internal_user) eigene API-Schlüssel erzeugen. Beim Anlegen eines solchen Schlüssels lässt sich festlegen, auf welche Routen er Zugriff erhält – diese Angabe wird jedoch gespeichert, ohne zu prüfen, ob die gewählten Routen überhaupt im Berechtigungsumfang des Benutzers liegen. Dadurch kann ein einfacher Benutzer einen Schlüssel ausstellen, der Zugriff auf Routen erhält, die eigentlich der Administratorrolle vorbehalten sind. Wird dieser Schlüssel anschließend verwendet, erreicht der Aufruf die Administrator-Routen tatsächlich, weil die rollenbasierte Zugriffskontrolle, die die Anfrage sonst blockieren würde, umgangen wird. Im Ergebnis verschafft sich ein gewöhnlicher interner Benutzer vollständige Administratorrechte über den Proxy und kann damit Funktionen ausführen, die ihm nicht zustehen.