LiteLLM:n komentoinjektio ketjutettuna Starlette BadHost -ohitukseen iskee täydellä CVSS 10.0 -vakavuudella

• POST /mcp-rest/test/connection

• POST /mcp-rest/test/tools/list

Molemmat päätepisteet hyväksyvät täydellisen MCP-palvelimen konfiguraation JSON-pyynnön rungossa, mukaan lukien Cmd-, args- ja env-kentät, joita stdio-tiedonsiirtotapa käyttää palvelinprosessien käynnistämiseen . Kun todennettu käyttäjä kutsuu jompaakumpaa päätepistettä tällä konfiguraatiolla, LiteLLM ottaa annetun Cmd-arvon ja suorittaa sen aliprosessina isäntäkoneella, samoilla käyttöjärjestelmäoikeuksilla kuin itse LiteLLM-välityspalvelimen prosessi .

Alun perin BerriAI julkisti tämän todennettuna etähallintahaavoittuvuutena – hyökkääjä tarvitsi voimassa olevan API-avaimen päästäkseen päätepisteisiin, eikä käyttöoikeustasoa tarkistettu. Jopa vähäisillä oikeuksilla varustettu sisäinen käyttäjä, jolla on mikä tahansa voimassa oleva välityspalvelimen API-avain, pystyi suorittamaan mielivaltaisia komentoja isäntäkoneella . Mutta tarina ei päättynyt tähän.

Starlette BadHost -ohitus, joka poistaa todentamisvaatimuksen

Toinen haavoittuvuus on CVE-2026-48710, jonka tutkijat ovat nimenneet "BadHostiksi". Tämä on Host-header-validoinnin puutteesta johtuva haavoittuvuus Starlettessa – kevyessä ASGI-kehyksessä, joka on FastAPI:n, vLLM:n ja tuhansien muiden Python-verkkosovellusten, mukaan lukien LiteLLM:n, perusta . Kaikki Starlette-versiot 0.8.3:sta 1.0.0:aan ovat haavoittuvia .

Perimmäinen syy on jäsentäjien välinen ristiriita siinä, kuinka Starlette reitittää saapuvat pyynnöt ja kuinka se rekonstruoi URL-osoitteen sovelluslogiikkaa varten . ASGI-reitityskerros käyttää raakaa HTTP-polkua pyynnöstä päättääkseen, mikä päätepiste käsittelee sen. Mutta request.url – URL-osoite, jonka sovelluksen väliohjelmistot ja dekoraattorit näkevät – rakennetaan uudelleen liittämällä raaka Host-headerin arvo pyyntöpolkuun ilman asianmukaista validointia .

Syöttämällä URI:n auktoriteetti-polku-erotinmerkkejä, kuten ? tai #, Host-headeriin, hyökkääjä voi saada request.url.path-polun näyttämään täysin erilaiselta kuin todellinen reititetty polku . Väliohjelmisto näkee harmittoman polun, kuten /, samalla kun reititin ohjaa pyynnön kulissien takana oikeaan kohdepäätepisteeseen. Mikä tahansa polkupohjainen todennusväliohjelmisto, joka luottaa request.url.path-polkuun, voidaan ohittaa triviaalisti .

Ketjun yhdistäminen: 8.7:stä 10.0:aan

LiteLLM:n todennusdekoraattori tarkistaa request.url.path-polun määrittääkseen, tarvitseeko pyyntö voimassa olevan API-avaimen. BadHost-ohitus antaa hyökkääjän manipuloida tätä URL-osoitetta niin, että todennuksen väliohjelmisto näkee polun, joka ei vaadi todennusta, samalla kun ASGI-reititin ohjaa pyynnön samanaikaisesti johonkin haavoittuvista MCP-komentoinjektion päätepisteistä .

Tämä poistaa ainoan kulunvalvontaportin, joka seisoi internetin ja mielivaltaisen komennon suorittamisen välillä. Hyökkääjä, jolla ei ole tunnistetietoja eikä aiempaa pääsyä verkkoon, voi lähettää yksittäisen muokatun HTTP-pyynnön, joka ohittaa todennuksen kokonaan ja suorittaa käyttöjärjestelmän komentoja LiteLLM-välityspalvelimen isännällä . Horizon3.ai vahvisti täyden ketjun toimivuuden ja antoi sille yhdistetyn CVSS-arvosanan 10.0 – maksimaalisen vakavuuden – koska se mahdollistaa todentamattoman etähallinnan .

Mitä hyökkääjät voivat tehdä tällä pääsyllä

Onnistunut hyväksikäyttö antaa hyökkääjille komennon suoritusoikeudet LiteLLM-välityspalvelimen prosessin käyttöoikeuksilla. Sieltä uhkapinta laajenee nopeasti:

• Mielivaltainen komennon suoritus: Hyökkääjät voivat asentaa takaovia, haittaohjelmia, kryptovaluutan louhijoita tai mitä tahansa muuta ohjelmistoa, jonka isäntäprosessin oikeudet sallivat .
• Tunnistetietovarkaudet mittakaavassa: LiteLLM-välityspalvelin istuu sovellusten ja kymmenien LLM-palveluntarjoajien välissä. Se tallentaa API-avaimet OpenAI:lle, Anthropicille, Azurelle, AWS Bedrockille, Googlelle ja muille yhdistetyille palveluille tietokantaansa tai ympäristömuuttujiin . Tämän haavoittuvuuden hyödyntäminen antaa hyökkääjille mahdollisuuden varastaa kaikki tallennetut tunnistetiedot yhdellä kertaa.
• Sivuttaisliikehdintä tekoälyinfrastruktuurin kautta: Varastettujen pilvi-API-avainten ja komentoriviyhteyden avulla välityspalvelimen isäntään hyökkääjät voivat siirtyä yhdistettyihin palveluihin, sisäisiin MCP-palvelimiin, vektoritietokantoihin ja jatkoketjun agenttikehyksiin .
• Laajemmat ekosysteemivaikutukset: Starletten BadHost-haavoittuvuus vaikuttaa yli 400 000 riippuvaan projektiin, mukaan lukien FastAPI-sovellukset, vLLM-palvelimet, MCP-palvelinkäyttöönotot ja tekoälyagenttikehykset. Mikä tahansa näistä, joka käyttää polkupohjaista todennusväliohjelmistoa Starlette-versioissa ennen 1.0.1:tä, on samalla tavoin altis todennuksen ohitukselle .

Miksi CISA:n toimenpide lisää kiireellisyyttä

CISA:n lisätessä CVE-2026-42271:n KEV-luetteloon 8. kesäkuuta 2026 se vahvistaa, ettei haavoittuvuus ole teoreettinen – hyökkääjät aseistavat sitä aktiivisesti juuri nyt . Sitovan operatiivisen direktiivin BOD 22-01 mukaisesti kaikkien Yhdysvaltain liittovaltion siviilihallinnon toimeenpanovirastojen on korjattava KEV-luettelossa olevat haavoittuvuudet määrätyssä korjausaikataulussa. CISA suosittelee myös vahvasti, että kaikki julkiset ja yksityiset organisaatiot käsittelevät KEV-lisäyksiä hätäpäivitysprioriteetteina .

Välittömät korjaustoimenpiteet

Korjaus ketjutettuun hyväksikäyttöön vaatii päivityksiä kahdella rintamalla sekä useita syvyyssuuntaisia puolustustoimenpiteitä tunnistetietojen paljastumisen käsittelemiseksi:

1. Päivitä LiteLLM versioon 1.83.7 tai uudempaan. Tämä julkaisu poistaa MCP-testipäätepisteiden kyvyn suorittaa käyttäjän antamia komentoja suoraan, sulkien komentoinjektiovektorin kokonaan .
2. Päivitä Starlette versioon 1.0.1 tai uudempaan. Päivitys validoi saapuvat Host-headerit URL-spesifikaatiota vasten ja ohittaa headerit, jotka sisältävät virheellisiä merkkejä, estäen polunsekoitustempun, joka mahdollistaa todennuksen ohituksen .
3. Vaihda (rotatoi) kaikki tallennetut tunnistetiedot välittömästi. Oleta, että jokainen API-avain, pääsytoken tai tietokantatunnus, jonka LiteLLM-välityspalvelin on koskaan tallentanut, on vaarantunut. Vaihda kaikki OpenAI:n, Anthropicin, Azuren, AWS:n ja muiden palveluntarjoajien avaimet ja tarkista laskutusnäkymät luvattoman käytön varalta .
4. Estä päätepisteet käänteisvälityspalvelimessa tai verkkosovellusten palomuurissa (WAF). Syvyyssuuntaisena puolustustoimenpiteenä päivitysten käyttöönoton aikana määritä käänteisvälityspalvelin tai verkkosovellusten palomuuri hylkäämään kaikki pyynnöt osoitteisiin

   POST /mcp-rest/test/connection

   ja

   POST /mcp-rest/test/tools/list

   ennen kuin ne saavuttavat sovelluksen .
5. Tarkasta luvaton käyttö takautuvasti. Tarkista LiteLLM-välityspalvelimen lokit epätavallisen toiminnan varalta MCP-testipäätepisteissä, erityisesti pyyntöjen, jotka tulevat odottamattomista IP-osoitteista tai sisältävät manipuloituja Host-headereita .

Yhdistetty CVSS 10.0 -vakavuus, aktiivinen hyväksikäyttö luonnossa ja CISA:n KEV-nimitys tarkoittavat, että LiteLLM:ää tai Starlette-pohjaisia palveluita käyttävien organisaatioiden tulisi käsitellä tätä hätätilanteen päivitys- ja tunnistetietojenvaihtotapahtumana. Aktiivisen hyväksikäytön ja tunnistetietojen varastamisen välinen aikaikkuna on jo auki.