◈ Intelijen Keamanan AI ← Umpan harian
Kerentanan  ·  2026-06-18

Injeksi Perintah Endpoint MCP LiteLLM — Unauthenticated RCE via Starlette BadHost Chain (CISA KEV)

KerentananHigh dampakGlobalCVE-2026-42271
Apa yang terjadi
CISA menambahkan CVE-2026-42271 ke katalog Known Exploited Vulnerabilities pada 9 Juni 2026, mengonfirmasi eksploitasi aktif di alam liar. Kerentanan berada di dua endpoint pratinjau server MCP di LiteLLM yang menerima konfigurasi server lengkap — termasuk field command, args, dan env — dan menjalankan perintah yang disuplai sebagai subprocess tanpa validasi atau sandboxing. Dikombinasikan dengan CVE-2026-48710, kerentanan parsing host-header di Starlette (framework ASGI yang mendukung LiteLLM, vLLM, dan banyak tools AI berbasis FastAPI), persyaratan autentikasi sepenuhnya dilewati, menghasilkan unauthenticated RCE. Horizon3.ai menerbitkan proof-of-concept kerja lengkap. CISA menggambarkan pola tersebut sebagai 'sustained targeting of AI gateway infrastructure.'
Mengapa penting
LiteLLM adalah titik manajemen kunci pusat dan chokepoint routing untuk deployment AI enterprise. Kompromi mengekspos setiap kredensial provider yang dikonfigurasi (OpenAI, Anthropic, Azure, AWS Bedrock, dll.), semua data prompt dan response (termasuk PII, source code, dan rahasia yang ditempel), dan — secara kritis — memungkinkan manipulasi diam-diam respons model saat transit ke AI agent downstream. Kompromi tingkat gateway mengubah penyerang menjadi mekanisme kemudi untuk setiap agent yang dirutekan melaluinya. CVE-2026-48710 juga memengaruhi vLLM dan aplikasi ASGI lain yang menggunakan path-based auth dengan Starlette ≤1.0.0, memperluas radius ledakan secara signifikan.
Vektor serangan
Penyerang mengirimkan POST yang dirancang ke /mcp-rest/test/connection atau /mcp-rest/test/tools/list dengan konfigurasi server MCP stdio berbahaya (field command/args/env). LiteLLM menjalankan perintah yang disuplai sebagai subprocess pada host tanpa sandbox. Dikombinasikan dengan CVE-2026-48710 (bypass host-header 'BadHost' Starlette), autentikasi sepenuhnya dilewati — unauthenticated RCE dari jaringan. Horizon3.ai menerbitkan PoC kerja yang mendemonstrasikan rantai lengkapnya.
Sistem yang terdampak
BerriAI LiteLLM 1.74.2 – 1.83.6; Starlette 0.8.3 – 1.0.0
Mitigasi
Upgrade LiteLLM ke ≥1.83.7 dan Starlette ke ≥1.0.1. Rotasi semua kunci provider, master key, dan kredensial database jika sebelumnya terekspos. Batasi endpoint uji MCP ke peran PROXY_ADMIN. Tenggat waktu KEV federal CISA adalah 22 Juni 2026.
Sumber
Vulert / NVD — CVE-2026-42271 technical deep-dive (verified full text)avinashsangle.com — LiteLLM CVE-2026-42271 + CVE-2026-48710 chain (verified full text)TechRepublic — CISA KEV Warning: LiteLLM AI Gateway Flaw (verified full text)CISA KEV Catalog
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →