무슨 일이 있었나
Obsidian Security는 2026년 6월 15일 AI 게이트웨이 브로커인 LiteLLM의 3개 CVE 체인을 공개했습니다. 이 취약점은 모든 낮은 권한의 사용자가 완전한 관리자로 에스컬레이션하고 프록시 서버에서 임의의 코드를 실행할 수 있도록 허용합니다. MCP 테스트 엔드포인트의 별도 RCE(CVE-2026-42271)가 며칠 내에 무기화되었고 CISA의 KEV 카탈로그에 추가되었습니다. 이 체인은 응답 재작성 및 다운스트림 에이전트를 공격자 제어 도구 호출로 조종할 수 있게 합니다.
왜 중요한가
LiteLLM은 AI 애플리케이션을 위한 중요한 제어 평면입니다. 침해는 공격자에게 100개 이상의 모델 공급자(OpenAI, Anthropic, Claude, GPT-5 등)의 자격증명, 모델 API 키, 자격증명을 해독하는 저장된 비밀 및 게이트웨이를 통과하는 모든 프롬프트 및 응답에 대한 완전한 가시성에 대한 액세스 권한을 부여합니다. 공격자는 실시간으로 모델 응답을 다시 작성하여 에이전트(코딩 에이전트, 추론 에이전트)를 악의적인 도구 실행으로 조종할 수 있습니다.
공격 경로
LiteLLM 프록시의 낮은 권한 사용자가 와일드카드 allowed_routes로 API 키를 생성하고, 자체 업데이트를 통해 proxy_admin으로 승격한 다음, 테스트 엔드포인트에서 MCP 명령 주입을 통해 RCE로 에스컬레이션합니다.
영향받는 시스템
LiteLLM 버전 1.74.2부터 1.83.14-stable 이전 버전
완화 방안
LiteLLM 1.83.14-stable 이상으로 업데이트; 노출된 API 키 및 proxy_admin 자격증명 취소