무슨 일이 있었나
LiteLLM의 MCP 테스트 엔드포인트가 검증 없이 공격자가 제공한 명령에서 임의의 하위 프로세스를 생성합니다. CISA가 2026-06-09에 KEV 카탈로그에 추가했으며 활성 현황 악용이 확인되었습니다. 인증 없는 접근을 위해 Starlette 호스트 헤더 우회와 연쇄됩니다.
왜 중요한가
LiteLLM은 가장 널리 배포된 오픈소스 AI 게이트웨이로, 100개 이상의 모델 공급자에게 요청을 라우팅합니다. 명령 주입과 인증 우회 결합 = 모든 조직 AI 상호작용의 중앙 신뢰 지점인 게이트웨이에 대한 인증 없는 RCE. 모든 프롬프트, 응답 및 자격증명이 손상된 게이트웨이를 통과합니다.
공격 경로
POST /mcp-rest/test/connection 또는 /mcp-rest/test/tools/list 엔드포인트가 검증되지 않은 'command' 필드를 수락; 검증 없는 subprocess 생성; 인증 없는 RCE를 위해 CVE-2026-48710(Starlette 호스트 헤더 우회)과 연쇄 (CVSS 합산 10.0)
영향받는 시스템
LiteLLM 1.74.2부터 1.83.6 (1.83.7에서 수정됨); LiteLLM을 통해 라우팅되는 모든 모델 공급자에 영향
완화 방안
즉시 LiteLLM 1.83.7+로 패치; Starlette를 1.0.1+로 업데이트; 모든 공급자 API 키, 마스터 키 및 데이터베이스 자격증명 교체; MCP 테스트 엔드포인트 네트워크 접근 제한