事件经过
Obsidian Security于2026年6月15日披露了LiteLLM中的四个漏洞链,综合CVSS为9.9。该链允许低权限用户升级到完整管理员权限并实现远程代码执行。一个单独的第五个漏洞(CVE-2026-42271,MCP命令注入)于2026年6月被添加到CISA的已知被利用漏洞目录中,修复期限为6月22日,表明存在主动利用。
影响分析
LiteLLM是一个关键的AI基础设施组件,在组织的应用程序和多个LLM提供商之间路由请求。它持有上游提供商凭证、发布虚拟API密钥、记录所有提示和响应、执行护栏,并代理代理流量。LiteLLM的妥协使攻击者能够访问组织中的每个AI交互,包括能够在传输中默默修改Claude Code响应——插入后门、移除安全检查和窃取数据。补丁在披露前6周可用,但未修补的实例仍然可被利用。
攻击途径
步骤1(CVE-2026-47101):经过认证的低权限用户创建/更新虚拟API密钥,使用不受限制的`allowed_routes`通配符,绕过路由授权检查。步骤2(CVE-2026-47102):攻击者到达`/user/update`端点并自我升级为`proxy_admin`角色。步骤3(CVE-2026-40217):管理面板回调配置字段接受通过未过滤`exec()`执行的Python代码,允许任意代码执行。步骤4(CVE-2026-42271,独立):测试端点中的MCP命令注入允许攻击者以LiteLLM进程身份生成任意主机命令,启用Claude Code和其他下游代理的响应劫持。
受影响系统
LiteLLM < 1.83.14-stable(补丁自2026年5月2日起可用)
缓解措施
立即升级到LiteLLM 1.83.14-stable或更高版本;轮换所有提供商API密钥(OpenAI、Anthropic、Azure、AWS Bedrock);审计所有proxy_admin账户;如果未使用,禁用自定义代码护栏;在网络边界阻止MCP REST测试端点