
LiteLLM 漏洞 CVE-2026-42271 正被利用
CISA 已将影响 BerriAI LiteLLM 的高危命令注入漏洞 CVE-2026-42271 纳入 KEV,称已有活跃利用迹象。该漏洞影响 LiteLLM Python package 1.74.2 至 1.83.6,已认证用户可借两处测试端点执行任意命令。建议升级至 1.83.7 或更高,并同时更新 Starlette、限制相关端点与排查日志。
美国网络安全与基础设施安全局(CISA)周一将影响 BerriAI LiteLLM 的一个高危缺陷加入其已知被利用漏洞(Known Exploited Vulnerabilities,KEV)目录,并称已有活跃利用证据。
该漏洞编号为 CVE-2026-42271(CVSS 评分:8.7),属于命令注入漏洞,可能允许任何已认证用户在主机上运行任意命令。
它影响以下版本的 LiteLLM Python package -
>= 1.74.2
< 1.83.7
BerriAI 共享的漏洞说明称:“用于在保存前预览 MCP server 的两个端点 - POST /mcp-rest/test/connection 和 POST /mcp-rest/test/tools/list - 会在请求体中接受完整的 server 配置,包括 stdio transport 使用的 command、args 和 env 字段。”
“当以 stdio 配置调用时,这些端点会尝试连接,从而在 proxy host 上以 proxy process 的权限启动所提供的 command 作为子进程。”
这家开源 AI gateway 和 Python SDK 的维护者表示,这些端点仅通过有效的 proxy API key 进行保护,因此任何已认证用户,包括具有特权的 internal-user keys,都可以在受影响系统上执行任意命令。
作为 1.83.7 版本补丁的一部分,这两个测试端点现在都需要 PROXY_ADMIN 角色,从而与 save endpoint 保持一致。
LiteLLM 通过 Starlette Host Header 验证绕过实现未认证远程代码执行
上周,Horizon3.ai 表示,他们将 CVE-2026-42271 与 CVE-2026-48710(CVSS 评分:6.5)串联起来。后者是一个“BadHost” host header 验证绕过漏洞,影响 Starlette 这一轻量级 Asynchronous Server Gateway Interface(ASGI)框架,可完全绕过认证,并对存在漏洞的 LiteLLM 部署实现远程代码执行。
“Horizon3.ai 表示,CVE-2026-48710 可用于彻底绕过 LiteLLM 部署中的认证机制,只要其依赖树包含 Starlette 版本 ≤ 1.0.0 即可。”
“这将把该漏洞转化为无需凭证的未认证远程代码执行。”
成功武器化这一利用链,可能使攻击者在 LiteLLM 主机上运行任意命令,访问模型提供商凭据,窃取由 proxy 存储的 API key 和 secrets,横向移动到连接的 AI 基础设施,甚至危及与该 gateway 集成的下游系统。
Horizon3.ai 表示,该串联漏洞的综合 CVSS 评分为 10.0,属于关键级。
目前尚无关于 CVE-2026-42271 如何被利用、相关威胁行为者身份、受害目标、攻击范围有多大,或这些活动是否已成功入侵任何实例的信息。也不清楚现场观察到的攻击是否正在使用该利用链。
建议用户将 LiteLLM 更新至 1.83.7 或更高版本,并将 Starlette 更新至 1.0.1 或更高版本。如果暂时无法立即打补丁,建议采取以下缓解措施 -
在 reverse proxy 或 API gateway 上阻止 POST /mcp-rest/test/connection 和 POST /mcp-rest/test/tools/list。
将网络访问限制在受信任的网段。
轮换 proxy 中存储的凭据。
检查日志中是否存在异常的 Host header 活动和子进程执行事件。
这一进展距离 LiteLLM 中另一个关键 SQL injection 漏洞 CVE-2026-42208 被公开知识后 36 小时内就在野被利用,仅过去一个多月。