Apa yang terjadi
Endpoint uji MCP LiteLLM menerima perintah shell tanpa validasi input yang tepat. Kerentanan injeksi perintah (CVSS 8.7) membentuk rantai dengan bypass validasi host-header Starlette (CVE-2026-48710, CVSS 6.5) untuk mencapai RCE tanpa autentikasi. CISA menambahkan CVE-2026-42271 ke KEV pada 2026-06-08 dengan eksploitasi aktif yang dikonfirmasi.
Mengapa penting
LiteLLM adalah titik kontrol pusat untuk akses model AI dalam penyebaran perusahaan. Gateway yang dikompromikan mengekspos setiap kunci API penyedia, dapat menulis ulang respons model untuk mengarahkan agen menuju panggilan alat pilihan penyerang, dan memberikan penyerang akses ke brankas kredensial yang menyimpan rahasia untuk layanan AI hilir.
Vektor serangan
Penyerang tanpa autentikasi memanggil injeksi perintah di endpoint uji MCP LiteLLM (/mcp-rest/test). Ketika dirantai dengan CVE-2026-48710 (bypass host-header Starlette), melewati autentikasi dan mencapai eksekusi perintah arbitrer pada host gateway.
Sistem yang terdampak
LiteLLM 1.74.2 melalui 1.83.6, dirantai dengan Starlette 0.8.3 melalui 1.0.0
Mitigasi
Tingkatkan ke LiteLLM 1.83.7 atau lebih baru dan Starlette 1.0.1 atau lebih baru. Putar semua kunci API penyedia, kunci master, dan kredensial basis data. Tenggat waktu remediasi federal CISA: 2026-06-22