무슨 일이 있었나
Obsidian Security는 2026년 6월 11일 LiteLLM의 CVSS 9.9 3개 취약점 체인을 공개했으며, 2026년 2월 BerriAI에 책임감 있게 보고되었고 v1.83.14-stable에서 완전히 패치되었습니다. CVE-2026-47101은 모든 내부 사용자가 와일드카드 경로 접근 권한으로 API 키를 발급할 수 있도록 허용하고, CVE-2026-47102은 보호되지 않은 user_role 필드를 통해 proxy_admin으로 자동 승격을 허용하며, CVE-2026-40217은 Custom Code Guardrail의 샌드박스 처리되지 않은 exec() 호출을 통해 RCE를 허용합니다. 추가로 Obsidian은 새로운 응답 주입 공격을 시연했습니다. 손상된 프록시가 내장 콜백을 사용하여 전송 중인 모델 응답을 조용히 재작성하고, 모델에 도달하지 않는 악성 도구 호출을 주입하여 프롬프트 주입 방어를 완전히 우회합니다.
왜 중요한가
이 체인은 AI 게이트웨이가 오래 수동 미들웨어로 취급되었지만 이제 1급 공격 대상임을 보여줍니다. 자격증명 탈취를 넘어, 응답 주입 기법은 질적으로 새로운 것입니다. LLM을 조작하지 않고 모델과 에이전트 사이의 통신을 가로채서 게이트웨이를 에이전트 하이재킹 장치로 변환합니다. 손상된 LiteLLM 프록시를 통해 라우팅되는 모든 에이전트는 조용히 리디렉션될 수 있습니다. 영향 범위에는 모든 다운스트림 AI 에이전트 워크플로우, AI 보조 코드 검토를 사용하는 CI/CD 파이프라인, MCP 연결 도구가 포함됩니다.
공격 경로
기본 낮은 권한 internal_user 계정에서의 3단계 체인: (1) CVE-2026-47101 — allowed_routes:["/*"]를 사용하여 API 키를 생성하고 경로 수준 RBAC를 우회; (2) CVE-2026-47102 — /user/update에 user_role:"proxy_admin"으로 POST하여 완전한 관리자로 자동 승격; (3) CVE-2026-40217 — Custom Code Guardrail exec() 엔드포인트(내장함수 필터링 없음)를 사용하여 역쉘 실행. Obsidian은 손상된 프록시를 통해 라우팅되는 Claude Code에 대한 응답 주입도 시연했습니다. 단일 'hello' 프롬프트로부터 개발자 머신에 역쉘을 전달하는 악성 도구 호출을 주입했습니다.
영향받는 시스템
BerriAI LiteLLM < 1.83.14-stable (CVE-2026-47101, CVE-2026-47102, CVE-2026-40217)
완화 방안
LiteLLM ≥1.83.14-stable로 업그레이드하세요(3개 CVE 모두 패치됨). Obsidian Security에서 2026년 6월 11일 공개; 2026년 2월 BerriAI에 보고됨.