De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft maandag een zeer ernstige fout die gevolgen heeft voor BerriAI LiteLLM toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus, daarbij verwijzend naar bewijs van actieve exploitatie.
De kwetsbaarheid, bijgehouden als CVE-2026-42271 (CVSS-score: 8,7), is een kwetsbaarheid voor opdrachtinjectie waardoor elke geverifieerde gebruiker willekeurige opdrachten op de host kan uitvoeren.
Het heeft invloed op de volgende versie van het LiteLLM Python-pakket:
“Twee eindpunten die worden gebruikt om een voorbeeld van een MCP-server te bekijken voordat deze wordt opgeslagen – POST /mcp-rest/test/connection en POST /mcp-rest/test/tools/list – accepteerden een volledige serverconfiguratie in de verzoektekst, inclusief de opdracht-, args- en env-velden die door het stdio-transport werden gebruikt”, aldus een beschrijving van de fout gedeeld door BerriAI.
“Toen de eindpunten werden aangeroepen met een stdio-configuratie, probeerden ze verbinding te maken, waardoor het opgegeven commando als een subproces op de proxyhost werd voortgebracht met de rechten van het proxyproces.”
De beheerders van de open-source AI-gateway en Python SDK zeiden dat de eindpunten alleen werden beveiligd door middel van een geldige proxy-API-sleutel, waardoor elke geauthenticeerde gebruiker, inclusief geprivilegieerde interne gebruikerssleutels, willekeurige opdrachten kon uitvoeren op een gevoelig systeem.
Als onderdeel van de patches die in versie 1.83.7 zijn uitgebracht, vereisen beide testeindpunten nu de rol PROXY_ADMIN, waardoor deze consistent is met het opslageindpunt.
LiteLLM Niet-geverifieerde uitvoering van externe code via Starlette Host Header Validatie Bypass
Vorige week zei Horizon3.ai dat het CVE-2026-42271 aan CVE-2026-48710 (CVSS-score: 6,5) heeft gekoppeld, een “BadHost” host header validatie omzeilt de kwetsbaarheid die Starlette treft, een lichtgewicht Asynchronous Server Gateway Interface (ASGI) raamwerk, om authenticatie volledig te omzeilen en externe code-uitvoering tegen kwetsbare LiteLLM-implementaties te bereiken.
“CVE-2026-48710 kan worden gebruikt om het authenticatiemechanisme volledig te omzeilen in LiteLLM-implementaties waarvan de afhankelijkheidsboom Starlette-versies ≤ 1.0.0 omvat”, aldus Horizon3.ai. “Dit transformeert de kwetsbaarheid in niet-geverifieerde uitvoering van externe code zonder dat er inloggegevens vereist zijn.”
Succesvolle bewapening van de exploitketen zou aanvallers in staat kunnen stellen willekeurige opdrachten uit te voeren op de LiteLLM-host, toegang te krijgen tot de inloggegevens van de modelaanbieder, API-sleutels en geheimen opgeslagen door de proxy over te hevelen, zich lateraal in de verbonden AI-infrastructuur te verplaatsen en zelfs downstream-systemen die met de gateway zijn geïntegreerd in gevaar te brengen.
Volgens Horizon3.ai heeft de geketende kwetsbaarheid een gecombineerde CVSS-score van 10,0, waardoor deze van cruciaal belang is.
Er is momenteel geen informatie over de manier waarop het beveiligingslek wordt uitgebuit, de identiteit van de bedreigingsactoren achter de inspanningen, wie het doelwit is, hoe wijdverbreid deze aanvallen zijn en of de activiteit met succes gevallen heeft gecompromitteerd. Het is ook onduidelijk of de in het wild waargenomen aanvallen gebruik maken van de exploitketen.
Gebruikers wordt geadviseerd om LiteLLM te updaten naar versie 1.83.7 of hoger en Starlette naar versie 1.0.1 of hoger. Als onmiddellijk patchen geen optie is, worden de volgende oplossingen aanbevolen:
- Blokkeer POST /mcp-rest/test/connect en POST /mcp-rest/test/tools/list op de omgekeerde proxy of API-gateway.
- Beperk netwerktoegang tot vertrouwde segmenten.
- Roteer de inloggegevens die zijn opgeslagen door de proxy.
- Controleer logboeken op ongebruikelijke host-headeractiviteit en uitvoeringsgebeurtenissen van subprocessen.
De ontwikkeling komt iets meer dan een maand nadat een kritieke SQL-injectiefout in LiteLLM (CVE-2026-42208, CVSS-score: 9,3) actief werd uitgebuit binnen 36 uur nadat de bug publiekelijk bekend werd.
