事件经过
LiteLLM 的 MCP 测试端点接受 shell 命令而没有适当的输入验证。命令注入缺陷(CVSS 8.7)与 Starlette 的主机头验证绕过(CVE-2026-48710、CVSS 6.5)链接,实现未认证 RCE。CISA 于 2026-06-08 将 CVE-2026-42271 添加到 KEV,并确认了主动利用。
影响分析
LiteLLM 是企业部署中 AI 模型访问的中心瓶颈。被攻破的网关会暴露每个提供商的 API 密钥,可以重写模型响应以引导代理执行攻击者选择的工具调用,并让攻击者访问保存下游 AI 服务机密的凭证库。
攻击途径
未认证的攻击者在 LiteLLM 的 MCP 测试端点(/mcp-rest/test)中调用命令注入。与 CVE-2026-48710(Starlette 主机头绕过)链接时,绕过身份验证并在网关主机上实现任意命令执行。
受影响系统
LiteLLM 1.74.2 至 1.83.6,与 Starlette 0.8.3 至 1.0.0 链接
缓解措施
升级到 LiteLLM 1.83.7 或更高版本和 Starlette 1.0.1 或更高版本。轮换所有提供商 API 密钥、主密钥和数据库凭证。CISA 联邦修复截止日期:2026-06-22