Die Schwachstelle steckt in der Funktion zum Aktualisieren des eigenen Benutzerkontos von LiteLLM, einem Vermittlungsdienst (Proxy) für KI-Sprachmodelle. Der zuständige Endpunkt erlaubt es einem Benutzer zwar korrekterweise nur, das eigene Konto zu bearbeiten, schränkt aber nicht ein, welche Felder dabei verändert werden dürfen. Dadurch kann ein angemeldeter Benutzer auch sein eigenes Rollenfeld überschreiben und sich selbst die Rolle des Proxy-Administrators zuweisen. Damit verschafft er sich vollständigen administrativen Zugriff auf LiteLLM – einschließlich aller Benutzer, Teams, Schlüssel, hinterlegter Modelle und der gespeicherten Eingabe-Historie. Besonders heikel ist, dass Inhaber der Organisations-Administratorrolle regulär Zugriff auf diesen Endpunkt haben und die Lücke ohne jeden weiteren Trick oder eine zusätzliche Schwachstelle ausnutzen können. Es handelt sich also um eine Rechteausweitung, bei der ein Konto mit eingeschränkten Rechten zum Vollzugriff aufgewertet wird.