उत्तरप्रकाशित30 स्रोत
LiteLLM की कमांड इंजेक्शन और स्टार्लेट के BadHost बाईपास ने बनाया CVSS 10.0 का ख़तरनाक कॉम्बो
लोकप्रिय LiteLLM AI गेटवे में कमांड इंजेक्शन की कमज़ोरी (CVE 2026 42271) को Starlette के होस्ट हेडर वैलिडेशन बाईपास (CVE 2026 48710) के साथ जोड़कर बिना किसी पासवर्ड के पूरा सिस्टम कंट्रोल (CVSS 10.0) हासिल किया जा सकत... हमले की शुरुआत दो MCP टेस्ट एंडपॉइंट्स में मौजूद प्रमाणीकृत कमांड इंजेक्शन से होती है, जिसे Star...
114K0
AI संकेत
openai.comCreate a landscape editorial hero image for this Studio Global article: What is the critical LiteLLM AI gateway command injection flaw (CVE-2026-42271, CVSS 8.7) that CISA has added to its Known Exploited Vulnera. Article summary: Here is the full breakdown of this critical vulnerability chain.. Topic tags: general, government, general web, user generated, documentation. Reference image context from search candidates: Reference image 1: visual subject "[CVE-2026-42271 — BerriAI LiteLLM Command Injection Vulnerability →](https://securityonline.info/cve-watchtower/?cve_detail=CVE-2026-42271) [CVE-2026-50751 — Check Point Security G" source context "CISA Active Exploit Catalog Adds Critical Gateway Flaws" Reference image 2: visual subject "Cybersecurity control dashboard highlighting known exploited vulnerabilities and command injection attack alerts." source context "CISA KEV Update: Explo
ओपन-सोर्स LiteLLM प्रॉक्सी आज के वक्त में उन संगठनों के लिए रीढ़ की हड्डी बन चुका है जो अपने एप्लिकेशन को बड़े लैंग्वेज मॉडल्स (LLMs) से जोड़ते हैं। लेकिन हाल ही में खोजी गई दो कमज़ोरियों ने बताया है कि जब AI इंफ्रास्ट्रक्चर की सिक्योरिटी चूक जाती है, तो नतीजा कितना ख़तरनाक हो सकता है। 8 जून, 2026 को अमेरिकी साइबर सुरक्षा एजेंसी (CISA) ने CVE-2026-42271—BerriAI के LiteLLM AI गेटवे में एक कमांड इंजेक्शन की खामी—को अपनी 'ज्ञात शोषित कमजोरियों' (Known Exploited Vulnerabilities) की सूची में डाल दिया, जिससे इस बात की पुष्टि हो गई कि हैकर्स पहले से ही इस बग का सक्रिय रूप से फायदा उठा रहे हैं ।
जो चीज़ इस स्थिति को और भी गंभीर बनाती है वो यह है कि Horizon3.ai के सुरक्षा शोधकर्ताओं ने दिखाया कि यह कमज़ोरी एक दूसरी खामी, जो कि लोकप्रिय Starlette Python ASGI फ्रेमवर्क में मौजूद है, के साथ मिलकर सबसे बुरे नतीजे तक पहुंचती है: बिना किसी पासवर्ड या लॉगिन के रिमोट कोड एक्सीक्यूशन (RCE), जिसकी CVSS गंभीरता रेटिंग अधिकतम 10.0 है ।
अकेले LiteLLM की खामी कैसे काम करती है
खुद में, CVE-2026-42271 एक हाई-सीवियरिटी बग है जिसकी CVSS स्कोर 8.7 है और यह LiteLLM के वर्जन 1.74.2 से लेकर 1.83.6 तक को प्रभावित करता है । समस्या दो MCP (Model Context Protocol) प्रीव्यू एंडपॉइंट्स में है जो यूज़र्स को एक MCP सर्वर कॉन्फ़िगरेशन को स्थायी रूप से सेव करने से पहले टेस्ट करने की सुविधा देने के लिए डिज़ाइन किए गए थे:
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
लोग पूछते भी हैं
"LiteLLM की कमांड इंजेक्शन और स्टार्लेट के BadHost बाईपास ने बनाया CVSS 10.0 का ख़तरनाक कॉम्बो" का संक्षिप्त उत्तर क्या है?
लोकप्रिय LiteLLM AI गेटवे में कमांड इंजेक्शन की कमज़ोरी (CVE 2026 42271) को Starlette के होस्ट हेडर वैलिडेशन बाईपास (CVE 2026 48710) के साथ जोड़कर बिना किसी पासवर्ड के पूरा सिस्टम कंट्रोल (CVSS 10.0) हासिल किया जा सकत...
सबसे पहले सत्यापित करने योग्य मुख्य बिंदु क्या हैं?
लोकप्रिय LiteLLM AI गेटवे में कमांड इंजेक्शन की कमज़ोरी (CVE 2026 42271) को Starlette के होस्ट हेडर वैलिडेशन बाईपास (CVE 2026 48710) के साथ जोड़कर बिना किसी पासवर्ड के पूरा सिस्टम कंट्रोल (CVSS 10.0) हासिल किया जा सकत... हमले की शुरुआत दो MCP टेस्ट एंडपॉइंट्स में मौजूद प्रमाणीकृत कमांड इंजेक्शन से होती है, जिसे Starlette ASGI फ्रेमवर्क के एक पाथ कन्फ्यूजन ट्रिक के जरिए बिना लॉगिन के भी एक्सेस किया जा सकता है।
मुझे अभ्यास में आगे क्या करना चाहिए?
तुरंत बचाव के लिए LiteLLM को 1.83.7 और Starlette को 1.0.1 या उसके बाद के वर्जन पर अपडेट करना ज़रूरी है। सबसे अहम—LiteLLM प्रॉक्सी में सेव सभी API की और क्रेडेंशियल्स को तुरंत बदल दें, क्योंकि संभावना है कि वो पहले ही...
सूत्र
- securityaffairs.comU.S. CISA adds BerriAI LiteLLM and Check Point Security ...
- letsdatascience.comLiteLLM Vulnerability Enables Unauthenticated Remote ...
- horizon3.aiCVE-2026-42271: LiteLLM Unauthenticated RCE | Horizon3.ai
- nvd.nist.govCVE-2026-42271 Detail - NVD
- thehackernews.comLiteLLM Flaw CVE-2026-42271 Exploited in the Wild, Chains to ...
- vulert.com
Loading comments...
Comments
0 comments