LiteLLM漏洞CVE-2026-42271：AI网关连环攻击链触及CVSS 10.0最严重RCE

最初，BerriAI将此披露为一个认证后的远程代码执行漏洞——攻击者需要拥有一个有效的API密钥才能访问这些端点，且当时没有任何基于角色的权限检查来限制谁可以调用它们。这意味着，即使是拥有任何有效代理API密钥的低权限内部用户，也能在宿主机上执行任意命令 。然而，故事并没有就此结束。

消除认证门槛的Starlette BadHost绕过漏洞

第二个漏洞是CVE-2026-48710，被研究人员昵称为“BadHost”。这是一个存在于Starlette框架中的Host请求头验证漏洞。Starlette是一种轻量级的ASGI框架，是FastAPI、vLLM等数千个Python Web应用的基础——当然也包括LiteLLM 。所有从0.8.3到1.0.0版本的Starlette均受影响 。

漏洞的根源在于解析不一致：Starlette用于路由的ASGI层，根据请求的原始HTTP路径来决定由哪个端点处理，但它重建用于应用逻辑的request.url时，却是将原始Host请求头的值与请求路径直接拼接而成，且未进行适当验证 。

通过在Host请求头中注入诸如?或#这类URI权限到路径的分隔符，攻击者可以让应用中间件看到的request.url.path，与请求实际被路由到的路径完全不同 。在中间件看来，请求指向了一个无害的路径，比如/，而在幕后，ASGI路由器却将请求转发给了真正的目标端点。于是，任何信任request.url.path的、基于路径的身份验证中间件，都可以被轻易绕过 。

致命串联：从8.7分到10.0分满分

LiteLLM的身份验证装饰器会检查request.url.path，来判断某个请求是否需要有效的API密钥。而BadHost绕过漏洞能让攻击者操纵这个URL，使得身份验证中间件以为该请求指向一个无需认证的路径，而与此同时，ASGI路由器却将请求分发到了两个存在命令注入漏洞的MCP测试端点之一 。

这样一来，攻击者就移除了横亘在互联网和任意命令执行之间的唯一一道门禁。一个既无凭证、也未事先获得网络访问权的攻击者，只需发送一个精心构造的HTTP请求，就能完全绕过身份验证，在LiteLLM代理宿主机上运行操作系统命令 。Horizon3.ai已确认整个攻击链有效，并因其实现了无需认证的远程代码执行，而给出了10.0分的合并CVSS评分——最高严重级别 。

攻击者得手后能做什么

成功利用此漏洞后，攻击者将以LiteLLM代理进程的权限执行命令。以此为跳板，后续威胁将迅速扩大：

• 任意命令执行： 攻击者可以安装后门、恶意软件、加密货币矿工程序，或宿主机进程权限允许的任何其他软件 。
• 大规模凭证窃取： LiteLLM代理位于应用程序和数十个大语言模型（LLM）提供商之间。它在数据库或环境变量中，集中存储着通往OpenAI、Anthropic、Azure、AWS Bedrock、Google等服务的API密钥 。利用此漏洞，攻击者可一次性将所有存储的凭证悉数窃取。
• 横向渗透至AI基础设施： 凭借偷来的云服务API密钥和对代理宿主机的shell访问权限，攻击者可以进一步渗透到相连的各项服务中，包括内网MCP服务器、向量数据库，以及下游的智能体（Agent）框架 。
• 更广泛的生态影响： Starlette的BadHost漏洞影响了超过40万个依赖它的项目，包括FastAPI应用、vLLM服务器、MCP服务器部署以及各类AI智能体框架。任何在1.0.1版本之前的Starlette上使用基于路径的身份验证中间件的项目，都有可能面临认证被绕过的风险 。

CISA的介入为何让事态更加紧迫

CISA于2026年6月8日将CVE-2026-42271加入KEV目录，确认该漏洞不再是理论上的风险——攻击者此刻正在积极地武器化它 。根据《第22-01号约束性操作指令》（BOD 22-01），美国所有联邦民事行政部门必须在规定的修复时限内，修补所有KEV目录中列出的漏洞。CISA也强烈建议所有公私组织将KEV新增条目视为紧急修补事项，列为最高优先级 。

立即可行的补救措施

要修复这个漏洞利用链，需要从两方面着手，并采取多项纵深防御措施来应对凭证泄露风险：

1. **将LiteLLM升级到1.83.7或更高版本。**此版本移除了MCP测试端点直接执行用户提供命令的能力，从根本上封堵了命令注入的途径 。
2. **将Starlette升级到1.0.1或更高版本。**新版本会根据URL规范验证传入的Host请求头，并忽略包含非法字符的请求头，从而阻止了用于绕过的路径混淆技俩 。
3. **立即轮换所有已存储的凭证。**请务必假定LiteLLM代理曾存储过的任何API密钥、访问令牌或数据库凭证均已泄露。立即轮换所有OpenAI、Anthropic、Azure、AWS等提供商的密钥，并检查相关计费（billing）仪表盘，排查是否存在未经授权的使用 。
4. **在反向代理或WAF层面阻断相关端点。**在补丁逐步推出的过程中，作为一项纵深防御措施，配置反向代理或Web应用防火墙（WAF），在请求到达应用程序之前丢弃所有发往

   POST /mcp-rest/test/connection

   和

   POST /mcp-rest/test/tools/list

   的请求 。
5. **回溯审计未经授权的访问。**检查LiteLLM代理日志，留意针对MCP测试端点的异常活动，特别是来自不寻常IP地址的请求，或含有遭篡改Host请求头的请求 。

高达10.0的合并CVSS评分、已证实的在野利用，以及CISA的KEV指定，意味着所有运行LiteLLM或Starlette驱动服务的组织，都应将此事件视为一次紧急的修补与凭证轮换行动。漏洞已被积极利用，凭证数据随时可能被窃取，这一窗口期已经敞开。