Kritický řetězec zranitelností v LiteLLM: Neověřené vzdálené spuštění kódu s maximální závažností CVSS 10.0

• POST /mcp-rest/test/connection

• POST /mcp-rest/test/tools/list

Oba endpointy přijímají v těle JSON požadavku kompletní konfiguraci MCP serveru, včetně polí Cmd, args a env, které stdio transport používá ke spouštění serverových procesů . Když ověřený uživatel zavolá některý z těchto endpointů, LiteLLM vezme dodanou hodnotu Cmd a spustí ji jako podproces na hostitelském počítači, a to se stejnými oprávněními, jaká má samotný proces LiteLLM proxy .

Společnost BerriAI tuto chybu původně zveřejnila jako chybu umožňující ověřené vzdálené spuštění kódu – útočník k dosažení endpointů potřeboval platný API klíč. Neexistovala žádná kontrola rolí, kdo je může volat, takže i interní uživatel s nízkými oprávněními mohl na hostiteli spouštět libovolné příkazy . Tím ale příběh nekončí.

Obcházení autentizace Starlette BadHost

Druhou zranitelností je CVE-2026-48710, výzkumníky přezdívaná „BadHost“. Jedná se o chybu v ověřování HTTP hlavičky Host v rámci Starlette, což je odlehčený ASGI framework, který tvoří základ pro FastAPI, vLLM a tisíce dalších Python webových aplikací – včetně LiteLLM . Chyba se týká všech verzí Starlette od 0.8.3 do 1.0.0 .

Hlavní příčinou je nesoulad mezi tím, jak Starlette směruje příchozí požadavky (ASGI routing), a tím, jak rekonstruuje URL pro potřeby aplikační logiky . ASGI routovací vrstva používá k rozhodování o cílovém endpointu surovou HTTP cestu z požadavku. Avšak request.url – URL, které vidí middleware a dekorátory – je zpětně sestaveno spojením surové hodnoty hlavičky Host s cestou požadavku, a to bez řádné validace .

Útočník může vložením znaků sloužících jako oddělovače cesty, jako je ? nebo #, do hlavičky Host způsobit, že request.url.path vypadá zcela jinak než skutečná směrovaná cesta . Middleware tak vidí neškodnou cestu, např. /, zatímco router za jeho zády předá požadavek na skutečný cílový endpoint. Tímto způsobem lze triviálně obejít jakýkoliv autentizační middleware, který důvěřuje request.url.path .

Zřetězení útoku: Z 8.7 na 10.0

Autentizační dekorátor LiteLLM kontroluje request.url.path, aby určil, zda požadavek potřebuje platný API klíč. Obchvat BadHost umožňuje útočníkovi manipulovat toto URL tak, že autentizační middleware vidí cestu, která ověření nevyžaduje, zatímco ASGI router současně odešle požadavek na jeden ze zranitelných endpointů pro příkazovou injekci .

Tím padá jediná bariéra, která stála mezi internetem a možností spustit na serveru libovolný příkaz. Útočník bez jakýchkoliv přihlašovacích údajů a bez předchozího přístupu do sítě může poslat jediný speciálně vytvořený HTTP požadavek, který zcela obejde autentizaci a spustí příkazy operačního systému na hostitelském stroji proxy serveru LiteLLM . Společnost Horizon3.ai potvrdila funkčnost celého řetězce a přiřadila mu kombinované CVSS skóre 10.0 – maximální závažnost .

Co mohou útočníci s tímto přístupem dělat

Úspěšné zneužití dává útočníkům možnost spouštět příkazy s oprávněními procesu LiteLLM proxy. Prostor pro hrozby se tak rychle rozšiřuje:

• Spouštění libovolných příkazů: Útočníci mohou instalovat zadní vrátka (backdoors), malware, těžaře kryptoměn nebo jakýkoliv jiný software, který jim oprávnění hostitelského procesu dovolí .
• Krádež přihlašovacích údajů ve velkém: LiteLLM proxy sedí mezi aplikacemi a desítkami poskytovatelů LLM. Ve své databázi nebo proměnných prostředí uchovává API klíče pro služby jako OpenAI, Anthropic, Azure, AWS Bedrock, Google a další . Zneužití této zranitelnosti umožňuje útočníkům odcizit všechny uložené klíče v jediné operaci.
• Laterální pohyb napříč AI infrastrukturou: S ukradenými cloudovými API klíči a přístupem k shellu na proxy serveru mohou útočníci pronikat do připojených cloudových služeb, interních MCP serverů, vektorových databází a navazujících agentních systémů .
• Širší dopady na ekosystém: Chyba Starlette BadHost postihuje více než 400 000 závislých projektů, včetně aplikací FastAPI, serverů vLLM, nasazení MCP serverů a AI agentních frameworků. Jakýkoliv z těchto projektů, který používá middleware pro autentizaci založený na cestě na verzích Starlette nižších než 1.0.1, je podobně vystaven riziku obejití autentizace .

Proč krok CISA zvyšuje naléhavost

Zařazení CVE-2026-42271 do katalogu KEV dne 8. června 2026 potvrzuje, že zranitelnost není jen teoretická – útočníci ji právě teď aktivně využívají k útokům . Podle závazné provozní směrnice BOD 22-01 musí všechny federální civilní výkonné agentury USA opravit zranitelnosti z katalogu KEV ve stanoveném termínu. CISA zároveň důrazně doporučuje všem organizacím, veřejným i soukromým, aby zařazení do katalogu KEV braly jako prioritu pro nouzové záplatování .

Okamžité kroky k nápravě

Oprava zřetězeného exploitu vyžaduje aktualizace na dvou frontách a několik dalších obranných opatření:

1. Aktualizujte LiteLLM na verzi 1.83.7 a novější. Tato verze odstraňuje schopnost testovacích MCP endpointů přímo spouštět uživatelem dodané příkazy, čímž zcela uzavírá vektor útoku příkazovou injekcí .
2. Aktualizujte Starlette na verzi 1.0.1 a novější. Oprava zavádí validaci příchozích hlaviček Host oproti specifikaci URL a ignoruje hlavičky obsahující neplatné znaky, čímž znemožňuje trik s matením cesty .
3. Okamžitě vyměňte všechny uložené přístupové údaje. Předpokládejte, že veškeré API klíče, přístupové tokeny a přihlašovací údaje, které proxy server LiteLLM kdy uložil, byly kompromitovány. Vyměňte všechny klíče k OpenAI, Anthropic, Azure, AWS a dalším poskytovatelům a zkontrolujte fakturační panely, zda nedošlo k neoprávněnému použití .
4. Blokujte endpointy na reverzní proxy nebo WAF. Jako dodatečné ochranné opatření při zavádění záplat nakonfigurujte reverzní proxy nebo webový aplikační firewall tak, aby zahazoval jakýkoliv požadavek na

   POST /mcp-rest/test/connection

   a

   POST /mcp-rest/test/tools/list

   dříve, než dorazí k aplikaci .
5. Zpětně zkontrolujte neoprávněné přístupy. Prověřte logy LiteLLM proxy a hledejte podezřelou aktivitu na MCP testovacích endpointech, zejména požadavky z neočekávaných IP adres nebo s manipulovanými hlavičkami Host .

Kombinace maximálního CVSS skóre 10.0, aktivního zneužívání v reálném prostředí a zařazení do CISA KEV katalogu znamená jediné: organizace provozující LiteLLM nebo služby postavené na Starlette musí tuto situaci řešit jako nouzovou událost vyžadující okamžité záplatování a výměnu klíčů. Okno mezi aktivním zneužíváním a krádeží přihlašovacích údajů je již otevřené.