Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) vào hôm thứ Hai đã thêm một lỗ hổng nghiêm trọng cao ảnh hưởng đến BerriAI LiteLLM vào danh mục Các lỗ hổng bị khai thác đã biết (KEV) của mình, dẫn chứng bằng các bằng chứng về việc bị khai thác trong thực tế.
Lỗ hổng này được theo dõi với mã CVE-2026-42271 (điểm CVSS: 8.7), là một lỗ hổng command injection có thể cho phép bất kỳ người dùng đã xác thực nào thực thi các lệnh tùy ý trên máy chủ lưu trữ (host).
Lỗ hổng này ảnh hưởng đến các phiên bản sau của gói LiteLLM Python:
- >= 1.74.2
- < 1.83.7
"Hai endpoint được sử dụng để xem trước máy chủ MCP trước khi lưu - POST /mcp-rest/test/connection và POST /mcp-rest/test/tools/list - đã chấp nhận cấu hình máy chủ đầy đủ trong thân yêu cầu (request body), bao gồm các trường command, args và env được sử dụng bởi stdio transport," theo mô tả về lỗi được BerriAI chia sẻ.
"Khi được gọi với cấu hình stdio, các endpoint đã cố gắng kết nối, điều này tạo ra lệnh được cung cấp dưới dạng một tiến trình con (subprocess) trên máy chủ proxy với các đặc quyền của tiến trình proxy."
Các nhà duy trì cổng AI mã nguồn mở và SDK Python cho biết các endpoint này chỉ được bảo mật bằng mã proxy API key hợp lệ, do đó bất kỳ người dùng đã xác thực nào, bao gồm cả các key của người dùng nội bộ có đặc quyền, đều có thể thực thi các lệnh tùy ý trên một hệ thống dễ bị tổn thương.
Là một phần của các bản vá được phát hành trong phiên bản 1.83.7, cả hai endpoint thử nghiệm hiện yêu cầu vai trò PROXY_ADMIN, giúp nó nhất quán với endpoint lưu (save endpoint).
Thực thi mã từ xa (RCE) không cần xác thực trong LiteLLM thông qua việc vượt qua xác thực Starlette Host Header
Tuần trước, Horizon3.ai cho biết họ đã kết hợp CVE-2026-42271 với CVE-2026-48710 (điểm CVSS: 6.5), một lỗ hổng vượt qua xác thực host header "BadHost" ảnh hưởng đến Starlette (một khung giao diện cổng máy chủ không đồng bộ - ASGI nhẹ), để bỏ qua hoàn toàn việc xác thực và thực hiện RCE đối với các triển khai LiteLLM dễ bị tổn thương.
"CVE-2026-48710 có thể được sử dụng để bỏ qua hoàn toàn cơ chế xác thực trong các triển khai LiteLLM có cây phụ thuộc bao gồm các phiên bản Starlette ≤ 1.0.0," Horizon3.ai cho biết. "Điều này biến lỗ hổng thành thực thi mã từ xa không cần xác thực mà không cần thông tin đăng nhập."
Việc vũ khí hóa thành công chuỗi khai thác này có thể cho phép những kẻ tấn công chạy các lệnh tùy ý trên máy chủ LiteLLM, truy cập thông tin đăng nhập của nhà cung cấp mô hình, lấy cắp các API key và bí mật được lưu trữ bởi proxy, di chuyển ngang vào cơ sở hạ tầng AI được kết nối và thậm chí xâm nhập vào các hệ thống hạ nguồn được tích hợp với cổng này.
Theo Horizon3.ai, lỗ hổng dạng chuỗi này có điểm CVSS kết hợp là 10.0, khiến nó trở nên cực kỳ nghiêm trọng.
Hiện tại không có thông tin về cách thức lỗ hổng đang bị khai thác, danh tính của (các) tác nhân đe dọa đằng sau các nỗ lực này, mục tiêu bị nhắm tới, mức độ phổ biến của các cuộc tấn công này hoặc liệu hoạt động này đã xâm nhập thành công bất kỳ phiên bản nào hay chưa. Cũng không rõ liệu các cuộc tấn công được quan sát thấy trong thực tế có đang tận dụng chuỗi khai thác này hay không.
Người dùng được khuyến cáo cập nhật LiteLLM lên phiên bản 1.83.7 trở lên và Starlette lên phiên bản 1.0.1 trở lên. Nếu việc vá lỗi ngay lập tức không phải là một lựa chọn, các biện pháp giảm thiểu sau đây được khuyến nghị:
- Chặn POST /mcp-rest/test/connection và POST /mcp-rest/test/tools/list tại reverse proxy hoặc API gateway.
- Hạn chế truy cập mạng đối với các phân đoạn đáng tin cậy.
- Thay đổi các thông tin đăng nhập được lưu trữ bởi proxy.
- Xem xét các bản ghi (log) để tìm các hoạt động Host header bất thường và các sự kiện thực thi tiến trình con (subprocess).
Diễn biến này xảy ra chỉ hơn một tháng sau khi một lỗ hổng SQL injection nghiêm trọng trong LiteLLM (CVE-2026-42208, điểm CVSS: 9.3) bị khai thác tích cực trong vòng 36 giờ sau khi lỗi này được công khai.