무슨 일이 있었나
Obsidian Security가 2026-06-15에 3단계 권한 상향 체인을 공개했습니다: 키 생성 시 인증 우회 → 보호되지 않은 사용자 업데이트 엔드포인트를 통한 권한 상향 → 필터링되지 않은 exec()를 통한 샌드박스 탈출. 합산 CVSS 9.9. MCP 콜백 주입을 통해 Claude Code 응답을 중간에 가로채는 것을 시연했습니다.
왜 중요한가
기본 저권한 내부 사용자가 프록시 관리자로 상향되어 AI 에이전트 응답에 악성 콜백을 주입할 수 있습니다. 손상된 LiteLLM 인스턴스를 통해 Claude Code를 사용하는 개발자는 공격자에 의해 자동으로 변경되고 백도어나 자격증명을 삽입한 코드 제안을 받으며, 개발자 신뢰와 함께 받습니다.
공격 경로
(1) CVE-2026-47101: 인증 우회로 저권한 사용자가 /*/allowed_routes로 와일드카드 API 키를 생성 가능; (2) CVE-2026-47102: /user/update 엔드포인트가 proxy_admin으로의 자기승격 수락; (3) CVE-2026-40217: Custom Code Guardrail이 샌드박스 없이 exec()를 통해 임의 Python 실행; 함께: 저권한 → 전체 관리자 RCE + MCP 콜백 가로채기
영향받는 시스템
LiteLLM < 1.83.14-stable; 1.74.2+부터 1.83.13까지의 모든 버전이 전체 체인에 영향
완화 방안
LiteLLM 1.83.14-stable 이상으로 업그레이드 (패치는 2026-05-02 이후 사용 가능); 패치 간격은 6주 이상—패치되지 않은 인스턴스를 악용된 것으로 처리; 저장된 모든 자격증명 교체