文章总结: 威胁行为者正积极利用开源AI代理网关LiteLLM中未经身份验证的远程代码执行漏洞,通过链接CVE-2026-42271命令注入与CVE-2026-48710身份验证绕过漏洞实现主机控制。该漏洞链影响LiteLLM1.74.2至1.83.6及Starlette1.0.0及更早版本,CVSS评分为10.0。建议立即升级至LiteLLM1.83.7与Starlette1.0.1,或通过阻断特定端点、限制网络访问、轮换凭证等措施缓解风险。 综合评分: 100 文章分类: 漏洞分析,漏洞预警,安全运营,应用安全,云安全
LiteLLM远程代码执行漏洞已被利用,攻击者可执行命令
原创
ZM ZM
暗镜
2026年6月12日 08:00 北京
在小说阅读器读本章
去阅读
威胁行为者正在积极利用广泛使用的开源 AI 代理网关 LiteLLM 中的一个严重的未经身份验证的远程代码执行 (RCE) 漏洞,通过链接两个 CVE 来完全绕过身份验证,并在易受攻击的主机上执行任意命令。
Horizon3.ai 的研究人员于 2026 年 6 月 1 日确认了该漏洞的链式利用路径,揭示了 LiteLLM MCP 服务器测试端点中的命令注入漏洞 CVE-2026-42271 可以与Starlette “BadHost” 主机头验证绕过漏洞 CVE-2026-48710 结合使用,从而实现未经身份验证的远程代码执行 (RCE)。该组合漏洞链的 CVSS 评分为 10.0,属于严重级别。
CVE-2026-42271 针对两个特定的 LiteLLM MCP 服务器端点:
POST /mcp-rest/test/connectionPOST /mcp-rest/test/tools/list
这些端点接受完整的服务器配置,包括 stdio 传输使用的命令、参数和环境变量,然后在代理主机上以子进程的形式生成提供的命令。
最初,研究人员认为该漏洞的严重性较低,因为访问权限受到有效代理 API 密钥的限制。
CVE-2026-48710 的出现打破了这一假设。“BadHost”漏洞影响 Starlette 1.0.0 及更早版本,攻击者可以利用该漏洞篡改 Host 标头值,从而完全绕过身份验证控制。
在依赖树中包含存在漏洞的 Starlette 版本的 LiteLLM 部署中,访问命令注入端点无需任何凭据。这导致攻击者能够以未经身份验证的干净路径完全控制主机。
一旦漏洞利用成功,攻击者便能以 LiteLLM 代理进程的身份执行任意命令。其实际影响远远超出网关本身:
- 在 LiteLLM 主机上执行任意操作系统命令
- 获取并窃取模型提供商凭证和 API 密钥
- 窃取代理服务器存储的秘密信息
- 横向迁移到互联人工智能基础设施
- 损害与网关集成的下游系统
鉴于 LiteLLM 部署通常位于企业 AI 管道的中心,将流量路由到 OpenAI、Anthropic、Azure OpenAI 和其他提供商,因此一次成功的入侵可能会暴露组织的整个 AI 运营层。
Horizon3 表示, LiteLLM 版本 1.74.2 至 1.83.6 与 Starlette 版本 1.0.0 或更早版本结合使用时,存在链式攻击漏洞。单独使用任一漏洞都会限制其利用;但两者结合使用则可实现未经身份验证的远程代码执行 (RCE) 。
LiteLLM 于 2026 年 5 月 8 日发布了 1.83.7 版本修复程序,引入了额外的授权控制并更新了 Starlette 依赖项。各组织还应将 Starlette 升级到 1.0.1 或更高版本。
对于无法立即进行补丁修复的团队,建议采取以下临时缓解措施:
- 阻止外部访问
/mcp-rest/test/connection和/mcp-rest/test/tools/list - 仅允许受信任的网段访问网络。
- 轮换代理存储的所有凭据和 API 密钥。
- 检查日志中是否存在异常的主机头值和意外的子进程执行事件
对于运行自托管 LiteLLM 实例的组织而言,鉴于该漏洞已被积极利用,应将此视为紧急补丁的优先事项。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:暗镜 ZM ZM《LiteLLM远程代码执行漏洞已被利用,攻击者可执行命令》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论