Apa yang terjadi
SecureLayer7 Lab mempublikasikan rantai RCE tiga-CVE pada 29–30 Juni 2026 (artikel dipublikasikan 2026-06-29T13:31:46, dimodifikasi 2026-06-30). Rantai ini mempersempit kesenjangan antara 'pengguna internal default' dan 'RCE pada host LiteLLM' menjadi satu skrip Python yang membuat tiga panggilan HTTP. Modul Metasploit LiteLLM juga diperbarui untuk mencakup modul injeksi SQL dan bypass auth. Kerentanan ini juga ditandai dalam daftar Top CVEs June 2026 oleh Security Boulevard.
Mengapa penting
LiteLLM digunakan oleh perusahaan sebagai gateway AI yang merutekan lalu lintas untuk semua aplikasi LLM mereka. RCE pada proxy LiteLLM berarti penyerang mengendalikan lapisan perutean untuk semua panggilan LLM hulu — memungkinkan injeksi prompt berskala besar, pencurian kredensial untuk setiap penyedia LLM yang dikonfigurasi, manipulasi respons, dan intersepsi lalu lintas model penuh. Ini adalah vektor serangan rantai pasokan AI yang sesungguhnya.
Vektor serangan
Langkah 1 (CVE-2026-47101): POST /key/generate dengan allowed_routes: ['/*'] meningkatkan kunci internal_user default ke kunci akses wildcard. Langkah 2 (CVE-2026-49468): Injeksi header Host dalam lapisan auth proxy LiteLLM melewati pemeriksaan peran admin. Langkah 3 (CVE-2026-35029): Endpoint /config/update tidak memiliki penegakan peran admin, memungkinkan mutasi variabel lingkungan dan konfigurasi yang mengarah ke RCE. Seluruh rantai dieksekusi dalam waktu kurang dari 2 detik dengan 3 permintaan HTTP dari pengguna internal dengan izin default.
Sistem yang terdampak
LiteLLM proxy sebelum 1.84.0 (rantai tiga-CVE: CVE-2026-47101, CVE-2026-49468, CVE-2026-35029)
Mitigasi
Upgrade ke LiteLLM 1.84.0 atau lebih baru. Penasihat SecureLayer7: https://blog.securelayer7.net/litellm-three-cve-rce-ai-supply-chain-attack