Apa yang terjadi
Endpoint pengujian MCP LiteLLM menjalankan subprocess arbitrer dari perintah yang disuplai penyerang tanpa validasi. CISA menambahkan ke katalog KEV 2026-06-09 dengan eksploitasi in-the-wild aktif dikonfirmasi. Rantai dengan bypass host-header Starlette untuk akses unauthenticated.
Mengapa penting
LiteLLM adalah gateway AI open-source yang paling banyak di-deploy, merutekan permintaan ke 100+ penyedia model. Command injection dikombinasikan dengan auth bypass = unauthenticated RCE pada titik kepercayaan pusat untuk semua interaksi AI organisasi. Setiap prompt, respons, dan kredensial melewati gateway yang dikompromikan.
Vektor serangan
Endpoint POST /mcp-rest/test/connection atau /mcp-rest/test/tools/list menerima bidang 'command' yang tidak disanitasi; spawning subprocess tanpa validasi; rantai dengan CVE-2026-48710 (bypass host-header Starlette) untuk unauthenticated RCE (CVSS gabungan 10.0)
Sistem yang terdampak
LiteLLM 1.74.2 hingga 1.83.6 (diperbaiki dalam 1.83.7); mempengaruhi semua penyedia model yang dirutekan melalui LiteLLM
Mitigasi
Patch ke LiteLLM 1.83.7+ segera; perbarui Starlette ke 1.0.1+; rotasi SEMUA kunci API penyedia, kunci master, dan kredensial database; batasi akses jaringan endpoint pengujian MCP