Пријави инцидент
Пријави инцидент

Пропуст во LiteLLM (CVE-2026-42271) се злоупотребува во реални напади и може да доведе до неавтентицирано далечинско извршување код

Објавено: 09.06.2026

Американската Агенција за сајбер безбедност и безбедност на инфраструктурата (CISA) во понеделникот додаде високоризичен пропуст што го засега BerriAI LiteLLM во својот каталог на познати активно злоупотребувани ранливости (Known Exploited Vulnerabilities – KEV), повикувајќи се на докази за активна експлоатација.

Ранливоста, означена како CVE-2026-42271 (CVSS оценка: 8.7), претставува пропуст за инјектирање команди (command injection) што може да му овозможи на секој автентициран корисник да извршува произволни команди на системот домаќин.

Засегнати се следните верзии на Python пакетот LiteLLM:


  • = 1.74.2
  • < 1.83.7

„Две крајни точки (endpoints) што се користат за преглед на MCP сервер пред негово зачувување – POST /mcp-rest/test/connection и POST /mcp-rest/test/tools/list – прифаќаа целосна конфигурација на серверот во телото на барањето, вклучувајќи ги полињата command, args и env што ги користи stdio транспортот“, се наведува во описот на пропустот споделен од BerriAI.

„Кога ќе беа повикани со stdio конфигурација, овие точки се обидуваа да воспостават врска, при што го стартуваа доставениот команден процес како под-процес на прокси-серверот со привилегиите на самиот прокси процес.“

Одржувачите на овој open-source AI gateway и Python SDK објаснија дека овие точки биле заштитени само со валиден proxy API клуч. Поради тоа, секој автентициран корисник, вклучувајќи и внатрешни корисници со привилегирани клучеви, можел да извршува произволни команди на ранлив систем.

Во верзијата 1.83.7, која ги содржи исправките, двете тест точки сега бараат улога PROXY_ADMIN, што ги усогласува со безбедносниот модел на endpoint-от за зачувување.

Неавтентицирано далечинско извршување код преку заобиколување на Starlette Host Header валидацијата

Минатата недела компанијата Horizon3.ai откри дека може да се комбинира CVE-2026-42271 со CVE-2026-48710 (CVSS оценка: 6.5), ранливост наречена „BadHost“ која овозможува заобиколување на валидацијата на Host заглавието (Host Header Validation Bypass) во Starlette – лесна ASGI рамка за асинхрони Python апликации.

„CVE-2026-48710 може целосно да го заобиколи механизмот за автентикација кај LiteLLM инсталации чиј синџир на зависности вклучува Starlette верзии ≤ 1.0.0“, соопшти Horizon3.ai.

„Ова ја трансформира ранливоста во неавтентицирано далечинско извршување код (Remote Code Execution – RCE), без потреба од какви било кориснички податоци или акредитиви.“

Успешната злоупотреба на овој синџир на ранливости може да им овозможи на напаѓачите:

  • Да извршуваат произволни команди на LiteLLM серверот.
  • Да пристапат до акредитиви на даватели на AI модели.
  • Да украдат API клучеви и тајни податоци складирани во прокси серверот.
  • Да се движат латерално низ поврзаната AI инфраструктура.
  • Да компромитираат дополнителни системи интегрирани преку gateway-от.

Според Horizon3.ai, комбинираниот синџир на ранливости има CVSS оценка 10.0, што го прави критично опасен.

Во моментов нема јавни информации за:

  • Начинот на кој CVE-2026-42271 се злоупотребува.
  • Идентитетот на напаѓачите.
  • Организациите што се цел на нападите.
  • Обемот на кампањата.
  • Дали веќе се компромитирани конкретни инсталации.
  • Дали нападите во дивина навистина го користат комплетниот синџир на експлоатација.

Препораки за заштита

Корисниците се советуваат да:

  • Надградат на LiteLLM верзија 1.83.7 или понова.
  • Надградат на Starlette верзија 1.0.1 или понова.

Доколку веднаш не е можно инсталирање на закрпите, се препорачуваат следните мерки:

  • Блокирање на POST /mcp-rest/test/connection и POST /mcp-rest/test/tools/list преку reverse proxy или API gateway.
  • Ограничување на мрежниот пристап само на доверливи сегменти.
  • Ротација (замена) на акредитивите складирани во прокси серверот.
  • Преглед на логовите за сомнителни Host header активности и неочекувани под-процеси.

Овој развој следува нешто повеќе од еден месец по откривањето на критичниот SQL Injection пропуст во LiteLLM (CVE-2026-42208, CVSS 9.3), кој започна активно да се злоупотребува во рок од само 36 часа откако ранливоста стана јавно позната.

Извори:

  • The Hacker News – LiteLLM Flaw CVE-2026-42271 Exploited in the Wild, Chains to Unauthenticated RCE The Hacker News