LiteLLM CVE-2026-42271: Sådan Kan en Simpel Kædning af To Sårbarheder Knække AI-Infrastrukturen

• POST /mcp-rest/test/connection

• POST /mcp-rest/test/tools/list

Begge endepunkter accepterer en komplet MCP-serverkonfiguration i JSON-forespørgslen, inklusive felterne Cmd, args, og env, som bruges af stdio-transporten til at starte serverprocesser . Når en bruger kalder et af disse endepunkter med en sådan konfiguration, tager LiteLLM den medfølgende Cmd-værdi og starter den som en underproces på værtsmaskinen med de samme rettigheder som LiteLLM-proxy-processen selv .

Oprindeligt blev dette afsløret som en autentificeret RCE-fejl. Man skulle bruge en gyldig API-nøgle for at ramme endepunkterne, men der var ingen rollebaseret kontrol til at forhindre almindelige brugere i at gøre det. Teoretisk set kunne enhver med en intern API-nøgle, uanset privilegieniveau, køre vilkårlige kommandoer på serveren . Men her stopper historien ikke.

BadHost-Fejlen i Starlette Fjerner Godkendelses-billetten

Den anden sårbarhed er CVE-2026-48710, døbt "BadHost". Det er en valideringsfejl i HTTP Host-headeren i Starlette, det letvægts ASGI-framework, der ligger til grund for utallige Python webapplikationer – inklusive LiteLLM, FastAPI og vLLM . Fejlen påvirker alle Starlette-versioner fra 0.8.3 til 1.0.0 .

Årsagen er en såkaldt "parser-uenighed" mellem, hvordan Starlette dirigerer indgående forespørgsler, og hvordan det genskaber URL’en til applikationslogikken . Routing-laget bruger forespørgslens rå HTTP-sti til at afgøre, hvilket endepunkt der skal håndtere den. Men request.url – den URL, som applikationens middleware ser – bliver genskabt ved at sætte den rå Host-header-værdi direkte sammen med forespørgselsstien, uden nogen form for validering .

Ved at indsætte specielle tegn som ? eller # i Host-headeren, kan en angriber få request.url.path til at se helt anderledes ud end den faktisk anmodede sti . Sikkerheds-middlewaren tror, at anmodningen går til en harmløs sti som /, mens routeren i virkeligheden sender den videre til et beskyttelsesværdigt endepunkt bag kulisserne. Enhver sti-baseret godkendelsesmekanisme, der stoler på request.url.path, kan dermed omgås trivielt .

Når To Bliver til 10.0: Kædningsangrebet Forklaret

LiteLLMs godkendelses-dekoratører er netop baseret på request.url.path for at afgøre, om en forespørgsel kræver en gyldig API-nøgle. BadHost-omgåelsen tillader en angriber at manipulere den URL, så godkendelses-middlewaren ser en sti, der ikke kræver login, mens ASGI-routeren samtidig sender forespørgslen til et af de sårbare MCP-endepunkter .

Dette fjerner den eneste adgangskontrol, der stod mellem internettet og vilkårlig eksekvering af kommandoer. En angriber, der hverken har legitimationsoplysninger eller forudgående netværksadgang, kan sende en enkelt, snedigt udformet HTTP-forespørgsel, der helt omgår godkendelsen og kører operativsystemkommandoer på LiteLLM-proxyens vært .

Horizon3.ai har bekræftet, at den fulde kæde virker, og har tildelt den en kombineret CVSS-score på 10.0 – den absolut højeste alvorlighedsgrad – netop fordi den muliggør uautoriseret fjernudførelse af kode .

Hvad kan en Angriber Gøre med Denne Adgang?

Succesfuld udnyttelse giver en angriber kommandoeksekvering med de rettigheder, som LiteLLM-proxy-processen kører med. Derfra er trusselsbilledet bredt:

• Fuldføre vilkårlige kommandoer: Angribere kan installere bagdøre, malware, cryptocurrency-minere eller anden software, som processens rettigheder tillader .
• Stjæle login-oplysninger i stor skala: LiteLLM-proxyen sidder som mellemled mellem applikationer og dusinvis af LLM-udbydere. Den opbevarer API-nøgler til OpenAI, Anthropic, Azure, AWS Bedrock, Google og mange andre i sin database eller miljøvariabler . Udnyttelse af denne sårbarhed gør det muligt for en angriber at suge alle disse nøgler ud i én enkelt operation.
• Bevæge sig lateralt gennem AI-infrastrukturen: Med stjålne cloud-API-nøgler og shell-adgang til proxy-værten kan angriberen springe videre til tilsluttede services, interne MCP-servere, vektordatabaser og downstream agent-frameworks .
• Konsekvenser for hele økosystemet: Da Starlettes BadHost-fejl påvirker over 400.000 afhængige projekter, inklusiv stort set alle FastAPI-applikationer, vLLM-servere og MCP-deployments, er mange andre systemer potentielt sårbare over for lignende godkendelses-omgåelser .

Hvorfor CISAs Indgriben Gør det Akut

CISA’s tilføjelse af CVE-2026-42271 til KEV-kataloget den 8. juni 2026 er et klart tegn på, at dette ikke er en teoretisk risiko – angrebene sker lige nu . Under deres bindende direktiv (BOD 22-01) skal alle føderale myndigheder i USA patche KEV-listede sårbarheder inden for en fastsat tidsramme. CISA anbefaler desuden på det kraftigste, at alle organisationer, både offentlige og private, behandler KEV-opdateringer som førsteprioriterede nødpatches .

Øjeblikkelige Remedieringstrin

For at lukke hullet helt kræves opdateringer to steder samt en række vigtige forsvarstiltag:

1. Opgrader LiteLLM til version 1.83.7 eller nyere. Denne opdatering fjerner testendenpunkternes evne til at udføre brugerspecificerede kommandoer og lukker dermed hele kommandoindsprøjtnings-vektoren .
2. Opgrader Starlette til version 1.0.1 eller nyere. Patchen validerer den indgående Host-header og ignorerer headere, der indeholder ugyldige tegn, hvilket forhindrer det "sti-forvirringstrick", som gør godkendelses-omgåelsen mulig .
3. Udskift alle gemte login-oplysninger med det samme. Gå ud fra, at ALLE API-nøgler, adgangstokens eller databaselegitimationsoplysninger, som LiteLLM-proxyen har opbevaret, er blevet kompromitteret. Rotér alle nøgler til OpenAI, Anthropic, Azure, AWS og andre udbydere øjeblikkeligt, og tjek faktureringsoversigter for uautoriseret forbrug .
4. Bloker endepunkterne i din reverse-proxy eller WAF. Som en "defense-in-depth" foranstaltning, mens patching står på, bør du konfigurere din reverse proxy eller web application firewall til at droppe alle forespørgsler til

   POST /mcp-rest/test/connection

   og

   POST /mcp-rest/test/tools/list

   , før de når applikationen .
5. Gennemgå logs for uautoriseret adgang. Tjek LiteLLM proxy-logs for usædvanlig aktivitet på de sårbare MCP-endepunkter, især forespørgsler fra uventede IP-adresser eller med manipulerede Host-headere .

Den maksimale CVSS-score på 10.0, den aktive udnyttelse på tværs af internettet og CISAs KEV-klassificering betyder tilsammen, at organisationer, der kører LiteLLM eller Starlette-baserede tjenester, bør betragte dette som en akut nødsituation, der kræver øjeblikkelig patching og nøglerotation. Vinduet mellem en aktiv udnyttelse og tyveri af samtlige legitimationsoplysninger er allerede åbent.