Apa yang terjadi
Obsidian Security mengungkapkan rantai tiga-CVE pada 2026-06-15 di LiteLLM, broker gateway AI. Kerentanan ini memungkinkan pengguna dengan hak istimewa rendah untuk meningkatkan ke administrator penuh dan menjalankan kode arbitrer pada server proxy. RCE terpisah (CVE-2026-42271) di endpoint uji MCP digunakan dalam beberapa hari dan ditambahkan ke katalog KEV CISA. Rantai ini memungkinkan penulisan ulang respons dan pengarahan agen downstream ke arah panggilan tool yang dikontrol penyerang.
Mengapa penting
LiteLLM adalah control plane kritis untuk aplikasi AI. Kompromi memberikan penyerang akses ke kredensial untuk 100+ penyedia model (OpenAI, Anthropic, Claude, GPT-5, dll.), kunci API model, rahasia tersimpan yang mendekripsi kredensial, dan visibilitas penuh ke setiap prompt dan respons yang melewati gateway. Penyerang dapat menulis ulang respons model secara real-time untuk mengarahkan agen (coding agent, reasoning agent) ke arah eksekusi tool yang berbahaya.
Vektor serangan
Pengguna dengan hak istimewa rendah pada proxy LiteLLM menciptakan kunci API dengan allowed_routes wildcard, mempromosikan diri mereka sendiri ke proxy_admin melalui self-update, kemudian meningkatkan ke RCE melalui injeksi perintah MCP di endpoint uji
Sistem yang terdampak
Versi LiteLLM 1.74.2 hingga versi sebelum 1.83.14-stable
Mitigasi
Perbarui ke LiteLLM 1.83.14-stable atau lebih baru; cabut kunci API yang terekspos dan kredensial proxy_admin