CVE-2026-42271: krytyczna luka RCE w LiteLLM trafi do CISA KEV
W popularnej bramce AI LiteLLM odkryto podatność command injection w endpointach MCP (CVSS 8.7), którą można łączyć z obejściem uwierzytelnienia — efekt: nieuwierzytelnione RCE. CISA wpisała CVE-2026-42271 do katalogu aktywnie eksploatowanych luk.
LiteLLM to jeden z najpopularniejszych open-source'owych proxy/gateway dla API modeli językowych — pozwala routować ruch do OpenAI, Anthropic, Google i dziesiątek innych providerów za pomocą jednego interfejsu. 8 czerwca 2026 CISA wpisała CVE-2026-42271 do katalogu aktywnie eksploatowanych podatności (KEV).
Mechanizm ataku. Dwa endpointy testowe protokołu MCP (POST /mcp-rest/test/connection i POST /mcp-rest/test/tools/list) akceptowały konfigurację serwera MCP zawierającą dowolną ścieżkę wykonywalną i argumenty, a następnie przekazywały ją bezpośrednio do subprocess bez jakiejkolwiek walidacji. Każdy uwierzytelniony użytkownik proxy mógł wywołać dowolne polecenie systemowe na hoście bramki.
Eskalacja do nieuwierzytelnionego RCE. Badacze z Horizon3.ai połączyli CVE-2026-42271 z CVE-2026-48710 — obejściem uwierzytelnienia poprzez manipulację nagłówkiem Host w Starlette (frameworku webowym LiteLLM). Połączony łańcuch pozwala atakującemu uruchomić dowolny kod bez żadnego klucza API, wysyłając dwa odpowiednio spreparowane żądania HTTP.
Affected versions i poprawka. Podatne wersje to 1.74.2–1.83.6 (patch wydany 8 maja jako 1.83.7). Należy też zaktualizować Starlette do 1.0.1. Obsidian Security ujawniło jeszcze trzy powiązane CVE (47101, 47102, 40217) z łącznym CVSS 9.9, eskalującym do admina i RCE.