무슨 일이 있었나
LiteLLM의 MCP 테스트 엔드포인트는 적절한 입력 검증 없이 셸 명령을 허용합니다. 명령 주입 결함(CVSS 8.7)은 Starlette의 호스트 헤더 검증 우회(CVE-2026-48710, CVSS 6.5)와 연쇄되어 인증 없는 RCE를 달성합니다. CISA는 CVE-2026-42271을 2026-06-08에 KEV에 추가했으며 능동적 악용이 확인되었습니다.
왜 중요한가
LiteLLM은 엔터프라이즈 배포에서 AI 모델 접근을 위한 중앙 병목입니다. 손상된 게이트웨이는 모든 제공자 API 키를 노출하고, 모델 응답을 재작성하여 에이전트를 공격자가 선택한 도구 호출로 조종하며, 다운스트림 AI 서비스의 비밀을 보유한 자격 증명 저장소에 접근할 수 있습니다.
공격 경로
인증 없는 공격자가 LiteLLM의 MCP 테스트 엔드포인트(/mcp-rest/test)에서 명령 주입을 호출합니다. CVE-2026-48710(Starlette 호스트 헤더 우회)과 연쇄될 때, 인증을 우회하고 게이트웨이 호스트에서 임의 명령 실행을 달성합니다.
영향받는 시스템
LiteLLM 1.74.2부터 1.83.6, Starlette 0.8.3부터 1.0.0과 연쇄
완화 방안
LiteLLM 1.83.7 이상 및 Starlette 1.0.1 이상으로 업그레이드합니다. 모든 제공자 API 키, 마스터 키 및 데이터베이스 자격 증명을 순환합니다. CISA 연방 복구 마감일: 2026-06-22