무슨 일이 있었나
CISA는 2026년 6월 9일 CVE-2026-42271을 알려진 악용 취약점 카탈로그에 추가했으며, 야생에서의 활발한 악용을 확인했습니다. 결함은 전체 서버 구성(command, args, env 필드 포함)을 허용하고 검증이나 샌드박싱 없이 제공된 명령을 서브프로세스로 실행하는 LiteLLM의 두 MCP 서버 미리보기 엔드포인트에 있습니다. Starlette(LiteLLM, vLLM 및 많은 FastAPI 기반 AI 도구를 지원하는 ASGI 프레임워크)의 호스트 헤더 구문 분석 결함인 CVE-2026-48710과 연계되면, 인증 요구사항이 완전히 우회되어 인증 불필요 RCE를 초래합니다. Horizon3.ai는 완전히 작동하는 개념 증명을 발표했습니다. CISA는 이 패턴을 'AI 게이트웨이 인프라에 대한 지속적인 표적화'로 특징지었습니다.
왜 중요한가
LiteLLM은 엔터프라이즈 AI 배포의 중앙 키 관리 및 라우팅 병목입니다. 손상은 구성된 모든 공급자 자격증명(OpenAI, Anthropic, Azure, AWS Bedrock 등), 모든 프롬프트 및 응답 데이터(PII, 소스 코드, 붙여넣은 비밀 포함)를 노출하며 — 중요한 것은 — 다운스트림 AI 에이전트로의 전송 중 모델 응답의 무음 조작을 허용합니다. 게이트웨이 수준의 손상은 공격자를 그것을 통해 라우팅되는 모든 에이전트의 조종 메커니즘으로 변환합니다. CVE-2026-48710은 또한 vLLM 및 Starlette ≤1.0.0을 사용하는 경로 기반 인증이 있는 다른 ASGI 앱에도 영향을 미쳐 피해 범위를 상당히 확대합니다.
공격 경로
공격자는 악의적인 stdio MCP 서버 구성(command/args/env 필드)을 포함하는 /mcp-rest/test/connection 또는 /mcp-rest/test/tools/list에 세련된 POST를 보냅니다. LiteLLM은 샌드박스 없이 호스트에서 제공된 명령을 서브프로세스로 실행합니다. CVE-2026-48710(Starlette 'BadHost' 호스트 헤더 우회)과 연계되면, 인증이 완전히 건너뛰어집니다 — 네트워크에서의 인증 불필요 RCE. Horizon3.ai는 전체 체인을 시연하는 작동하는 PoC를 발표했습니다.
영향받는 시스템
BerriAI LiteLLM 1.74.2 – 1.83.6; Starlette 0.8.3 – 1.0.0
완화 방안
LiteLLM을 ≥1.83.7로, Starlette을 ≥1.0.1로 업그레이드하세요. 이전에 노출된 모든 공급자 키, 마스터 키 및 데이터베이스 자격증명을 회전하세요. MCP 테스트 엔드포인트를 PROXY_ADMIN 역할로 제한하세요. CISA KEV 연방 기한은 2026년 6월 22일이었습니다.