事件经过
Obsidian Security 于 2026-06-15 在 AI 网关代理 LiteLLM 中披露了一个三 CVE 链。该漏洞允许任何低权限用户升级到完整管理员并在代理服务器上执行任意代码。单独的 RCE (CVE-2026-42271) 在 MCP 测试端点中被武装化,并在数天内被添加到 CISA 的 KEV 目录中。该链允许响应重写和将下游代理转向攻击者控制的工具调用。
影响分析
LiteLLM 是 AI 应用的关键控制平面。妥协使攻击者能够访问 100+ 个模型提供者的凭证(OpenAI、Anthropic、Claude、GPT-5 等)、模型 API 密钥、用于解密凭证的存储密钥,以及对通过网关传递的每个提示和响应的完全可见性。攻击者可以实时重写模型响应,将代理(编码代理、推理代理)转向恶意工具执行。
攻击途径
低权限用户在 LiteLLM 代理上使用通配符 allowed_routes 创建 API 密钥,通过自更新将自己提升为 proxy_admin,然后通过测试端点中的 MCP 命令注入升级到 RCE
受影响系统
LiteLLM 版本 1.74.2 至 1.83.14-stable 之前的版本
缓解措施
更新到 LiteLLM 1.83.14-stable 或更高版本;撤销暴露的 API 密钥和 proxy_admin 凭证