事件经过
LiteLLM的MCP测试端点不经验证地从攻击者提供的命令生成任意子进程。CISA于2026-06-09将其添加到KEV目录,确认了主动的野外利用。与Starlette主机头绕过链接,用于未认证访问。
影响分析
LiteLLM是部署最广泛的开源AI网关,将请求路由到100多个模型提供商。命令注入与身份验证绕过相结合=所有组织AI交互的中央信任点上的未认证RCE。每个提示、响应和凭证都通过被危害的网关。
攻击途径
POST /mcp-rest/test/connection或/mcp-rest/test/tools/list端点接受未清理的"command"字段;子进程生成未经验证;与CVE-2026-48710(Starlette主机头绕过)链接以实现未认证RCE(组合CVSS 10.0)
受影响系统
LiteLLM 1.74.2到1.83.6(在1.83.7中修复);影响通过LiteLLM路由的所有模型提供商
缓解措施
立即修补到LiteLLM 1.83.7+;将Starlette更新到1.0.1+;轮换所有提供商API密钥、主密钥和数据库凭证;限制MCP测试端点网络访问