LiteLLM 漏洞遭野外利用，链式攻击可实现未授权 RCE

美国网络安全和基础设施安全局（CISA）周一将影响 BerriAI LiteLLM 的一个高危漏洞添加到其已知被利用漏洞（KEV）目录中，并引用了活跃利用的证据。

该漏洞编号为 CVE-2026-42271（CVSS 评分：8.7），是一个命令注入漏洞，可能允许任何经过身份验证的用户在主机上执行任意命令。

它影响以下版本的 LiteLLM Python 包：

• = 1.74.2

• < 1.83.7

“两个用于在保存前预览 MCP 服务器的端点——POST /mcp-rest/test/connection 和 POST /mcp-rest/test/tools/list——接受请求体中的完整服务器配置，包括 stdio 传输所使用的 command、args 和 env 字段，”BerriAI 分享的漏洞描述中写道。

“当使用 stdio 配置调用时，这些端点会尝试连接，从而将提供的命令作为子进程生成到代理主机上，并具有代理进程的权限。”

该开源 AI 网关和 Python SDK 的维护者表示，这些端点仅通过有效的代理 API 密钥进行保护，因此任何经过身份验证的用户（包括特权内部用户密钥）都可以在易受攻击的系统上执行任意命令。

在 1.83.7 版本中发布的补丁中，这两个测试端点现在都需要 PROXY_ADMIN 角色，从而与保存端点保持一致。

通过绕过 Starlette Host Header 验证实现 LiteLLM 未授权远程代码执行

上周，Horizon3.ai 表示他们将 CVE-2026-42271 与 CVE-2026-48710（CVSS 评分：6.5）进行了链式利用，后者是一个影响 Starlette 的“BadHost”Host Header 验证绕过漏洞。Starlette 是一个轻量级的异步服务器网关接口（ASGI）框架。通过链式利用，可以完全绕过身份验证，在易受攻击的 LiteLLM 部署上实现远程代码执行。

“CVE-2026-48710 可用于完全绕过 LiteLLM 部署中的身份验证机制，这些部署的依赖树中包含 Starlette 版本 ≤ 1.0.0，”Horizon3.ai 表示。“这将该漏洞转变为无需任何凭证的未授权远程代码执行。”

成功利用该漏洞链可能允许攻击者在 LiteLLM 主机上执行任意命令、访问模型提供商凭据、窃取代理存储的 API 密钥和机密、横向移动到相连的 AI 基础设施，甚至入侵与网关集成的下游系统。

据 Horizon3.ai 称，链式漏洞的组合 CVSS 评分为 10.0，属于严重级别。

目前尚不清楚该漏洞是如何被利用的、幕后威胁行为者的身份、攻击目标是谁、这些攻击的规模有多大，或者这些活动是否已成功入侵任何实例。也不清楚在野外观察到的攻击是否利用了该漏洞链。

建议用户将 LiteLLM 更新至 1.83.7 或更高版本，并将 Starlette 更新至 1.0.1 或更高版本。如果无法立即修补，建议采取以下缓解措施：

• 在反向代理或 API 网关处阻止 POST /mcp-rest/test/connection 和 POST /mcp-rest/test/tools/list。
• 将网络访问限制在可信网段。
• 轮换代理存储的凭据。
• 审查日志中异常的 Host Header 活动和子进程执行事件。

这一进展发生在一个多月前，LiteLLM 中的一个严重 SQL 注入漏洞（CVE-2026-42208，CVSS 评分：9.3）在漏洞公开后 36 小时内就遭到了活跃利用。