◈ Intelijen Keamanan AI ← Umpan harian
Kerentanan  ·  2026-06-21

LiteLLM CVE-2026-47101/47102/40217 Privilege Escalation Chain to RCE (CVSS 9.9)

KerentananHigh dampakGlobalCVE-2026-47101, CVE-2026-47102, CVE-2026-40217
Apa yang terjadi
Obsidian Security mengungkapkan pada 15 Juni 2026, rantai empat kerentanan di LiteLLM dengan CVSS gabungan 9.9. Rantai ini memungkinkan pengguna dengan hak istimewa rendah untuk meningkat menjadi admin penuh dan mencapai eksekusi kode jarak jauh. Kerentanan kelima yang terpisah (CVE-2026-42271, injeksi perintah MCP) ditambahkan ke katalog Known Exploited Vulnerabilities CISA pada Juni 2026 dengan tenggat remediasi 22 Juni, menunjukkan eksploitasi aktif.
Mengapa penting
LiteLLM adalah komponen infrastruktur AI kritis yang merutekan permintaan antara aplikasi organisasi dan beberapa penyedia LLM. Ia menyimpan kredensial penyedia upstream, mengeluarkan kunci API virtual, mencatat semua prompt dan respons, menjalankan guardrail, dan proxy lalu lintas agen. Kompromi LiteLLM memberikan penyerang akses ke setiap interaksi AI dalam organisasi, termasuk kemampuan untuk secara diam-diam memodifikasi respons Claude Code dalam transit—menyisipkan pintu belakang, menghapus pemeriksaan keamanan, dan mengeksfilitrasi data. Patch tersedia 6 minggu sebelum pengungkapan, tetapi instans yang tidak ditambal tetap dapat dieksploitasi.
Vektor serangan
Langkah 1 (CVE-2026-47101): pengguna dengan hak istimewa rendah yang terautentikasi membuat/memperbarui kunci API virtual dengan wildcard `allowed_routes` yang tidak terbatas, melewati pemeriksaan otorisasi rute. Langkah 2 (CVE-2026-47102): penyerang mencapai endpoint `/user/update` dan mempromosikan diri ke peran `proxy_admin`. Langkah 3 (CVE-2026-40217): bidang konfigurasi callback panel admin menerima kode Python yang dijalankan melalui `exec()` yang tidak disaring, memungkinkan eksekusi kode arbitrer. Langkah 4 (CVE-2026-42271, terpisah): injeksi perintah MCP di endpoint test memungkinkan penyerang untuk menghasilkan perintah host arbitrer sebagai proses LiteLLM, memungkinkan perampasan respons Claude Code dan agen downstream lainnya.
Sistem yang terdampak
LiteLLM < 1.83.14-stable (patch tersedia sejak 2 Mei 2026)
Mitigasi
Upgrade ke LiteLLM 1.83.14-stable atau lebih baru segera; rotasi semua kunci API penyedia (OpenAI, Anthropic, Azure, AWS Bedrock); audit semua akun proxy_admin; nonaktifkan Custom Code Guardrails jika tidak digunakan; blokir endpoint test MCP REST di perimeter jaringan
Sumber
Penligent - LiteLLM Vulnerability Chain AnalysisVentureBeat - LiteLLM Copilot Hijack AnalysisAdyog Pulse - LiteLLM CVSS 9.9 Chain
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →