Apa yang terjadi
CISA menambahkan CVE-2026-42271 ke katalog Known Exploited Vulnerabilities-nya pada 9 Juni 2026, mengkonfirmasi eksploitasi aktif di alam liar. Kerentanan tersebut terletak di dua endpoint pratinjau server MCP di LiteLLM yang menerima konfigurasi server lengkap — termasuk bidang command, args, dan env — dan menjalankan perintah yang disuplai sebagai subprocess tanpa validasi atau sandboxing. Dikombinasikan dengan CVE-2026-48710, kerentanan penguraian host-header di Starlette (framework ASGI yang mendasari LiteLLM, vLLM, dan banyak tools AI berbasis FastAPI), persyaratan autentikasi sepenuhnya dilewati, menghasilkan RCE tanpa autentikasi. Horizon3.ai mempublikasikan proof-of-concept yang sepenuhnya berfungsi. CISA mencirikan pola tersebut sebagai 'penargetan berkelanjutan terhadap infrastruktur gateway AI.'
Mengapa penting
LiteLLM adalah titik kunci manajemen-kunci dan routing pusat untuk penyebaran AI perusahaan. Kompromi mengekspos setiap kredensial penyedia yang dikonfigurasi (OpenAI, Anthropic, Azure, AWS Bedrock, dll.), semua data prompt dan respons (termasuk PII, kode sumber, dan rahasia yang ditempel), dan — secara kritis — memungkinkan gangguan diam-diam respons model dalam transit ke agen AI hilir. Kompromi tingkat gateway mengubah penyerang menjadi mekanisme pengarah untuk setiap agen yang dirutekan melaluinya. CVE-2026-48710 juga memengaruhi vLLM dan aplikasi ASGI lainnya yang menggunakan autentikasi berbasis path dengan Starlette ≤1.0.0, memperluas radius ledakan secara signifikan.
Vektor serangan
Penyerang mengirim POST yang dirancang ke /mcp-rest/test/connection atau /mcp-rest/test/tools/list dengan konfigurasi server MCP stdio berbahaya (bidang command/args/env). LiteLLM menjalankan perintah yang disuplai sebagai subprocess pada host tanpa sandbox. Dikombinasikan dengan CVE-2026-48710 (Starlette 'BadHost' bypass host-header), autentikasi sepenuhnya dilewati — RCE tanpa autentikasi dari jaringan. Horizon3.ai mempublikasikan PoC yang berfungsi mendemonstrasikan rantai lengkap.
Sistem yang terdampak
BerriAI LiteLLM 1.74.2 – 1.83.6; Starlette 0.8.3 – 1.0.0
Mitigasi
Tingkatkan LiteLLM ke ≥1.83.7 dan Starlette ke ≥1.0.1. Rotasi semua kunci penyedia, kunci master, dan kredensial database jika sebelumnya terekspos. Batasi endpoint tes MCP ke peran PROXY_ADMIN. Tenggat waktu federal KEV CISA adalah 22 Juni 2026.