◈ Intelijen Keamanan AI ← Umpan harian
Kerentanan  ·  2026-06-18

Rantai Eskalasi Privilese LiteLLM Low-Privilege → Admin → RCE (CVSS 9.9, Obsidian Security)

KerentananHigh dampakGlobalCVE-2026-47101
Apa yang terjadi
Obsidian Security mengungkapkan rantai tiga kerentanan CVSS 9.9 di LiteLLM pada 11 Juni 2026, dilaporkan secara bertanggung jawab kepada BerriAI pada Februari 2026 dan sepenuhnya diperbaiki di v1.83.14-stable. CVE-2026-47101 memungkinkan pengguna internal mana pun untuk membuat kunci API dengan akses rute wildcard; CVE-2026-47102 memungkinkan promosi diri ke proxy_admin melalui bidang user_role yang tidak terlindungi; CVE-2026-40217 memungkinkan RCE melalui panggilan exec() yang tidak tersandbox di Custom Code Guardrail. Selain itu, Obsidian mendemonstrasikan serangan injeksi respons yang baru: proxy yang dikompromikan dapat secara diam-diam menulis ulang respons model dalam transit menggunakan callback bawaan, menyuntikkan panggilan alat berbahaya yang tidak pernah mencapai model, sepenuhnya melewati pertahanan injeksi prompt.
Mengapa penting
Rantai ini menunjukkan bahwa gateway AI, yang lama diperlakukan sebagai middleware pasif, sekarang merupakan target serangan tingkat pertama. Melampaui pencurian kredensial, teknik injeksi respons adalah hal baru yang kualitatif: tidak memanipulasi LLM — ia mengintersepsi kabel antara model dan agen, mengonversi gateway menjadi perangkat pembajakan agen. Setiap agen yang merutekan melalui proxy LiteLLM yang dikompromikan dapat diarahkan ulang secara diam-diam. Radius ledakan mencakup semua alur kerja agen AI hilir, saluran CI/CD menggunakan tinjauan kode berbantuan AI, dan alat yang terhubung MCP.
Vektor serangan
Rantai tiga langkah dari akun internal_user berprivilese rendah default: (1) CVE-2026-47101 — buat kunci API dengan allowed_routes:["/*"] untuk melewati RBAC tingkat rute; (2) CVE-2026-47102 — POST user_role:"proxy_admin" ke /user/update untuk mempromosikan diri ke admin penuh; (3) CVE-2026-40217 — gunakan titik akhir exec() Custom Code Guardrail (tanpa penyaringan builtins) untuk membuka reverse shell. Obsidian juga mendemonstrasikan injeksi respons terhadap Claude Code yang dirutekan melalui proxy yang dikompromikan — menyuntikkan panggilan alat berbahaya yang mengirimkan reverse shell ke mesin pengembang dari prompt 'hello' tunggal.
Sistem yang terdampak
BerriAI LiteLLM < 1.83.14-stable (CVE-2026-47101, CVE-2026-47102, CVE-2026-40217)
Mitigasi
Tingkatkan ke LiteLLM ≥1.83.14-stable (ketiga CVE diperbaiki). Dipublikasikan oleh Obsidian Security pada 11 Juni 2026; dilaporkan kepada BerriAI pada Februari 2026.
Sumber
Obsidian Security — Breaking LiteLLM (primary advisory, verified full text)latesthackingnews.com — LiteLLM Vulnerability Chain analysis (verified full text)The Hacker News — LiteLLM Vulnerability Chain Lets Low-Privilege Users Take Over AI Gateway ServersPenligent AI Security LabLinkedIn (Obsidian Security / TPRM Insights)
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →