Apa yang terjadi
Obsidian Security mengungkapkan pada 2026-06-15 rantai eskalasi privilege tiga langkah: bypass otorisasi dalam pembuatan kunci → eskalasi privilege melalui endpoint pembaruan pengguna yang tidak terlindungi → sandbox escape melalui exec() yang tidak disaring. CVSS gabungan 9.9. Demonstrasi injeksi callback MCP untuk membajak respons Claude Code dalam transit.
Mengapa penting
Pengguna internal dengan privilege rendah default dapat naik ke proxy admin dan menyuntikkan callback berbahaya ke respons agen AI. Pengembang yang menggunakan Claude Code melalui instance LiteLLM yang dikompromikan menerima saran kode yang telah diam-diam diubah oleh penyerang, menyisipkan backdoor atau kredensial dengan kepercayaan pengembang.
Vektor serangan
(1) CVE-2026-47101: auth bypass memungkinkan pengguna privilege rendah untuk membuat kunci API wildcard dengan /*/allowed_routes; (2) CVE-2026-47102: endpoint /user/update menerima self-promotion ke proxy_admin; (3) CVE-2026-40217: Custom Code Guardrail mengeksekusi Python arbitrer melalui exec() tanpa sandbox; bersama-sama: privilege rendah → RCE admin penuh + pembajakan callback MCP
Sistem yang terdampak
LiteLLM < 1.83.14-stable; semua versi 1.74.2+ hingga 1.83.13 dipengaruhi oleh rantai lengkap
Mitigasi
Upgrade ke LiteLLM 1.83.14-stable atau lebih baru (patch tersedia sejak 2026-05-02); celah patch adalah 6+ minggu—perlakukan instance yang belum di-patch sebagai dieksploitasi; rotasi semua kredensial yang disimpan