◈ Intelijen Keamanan AI ← Umpan harian
Kerentanan  ·  2026-06-18

Rantai Eskalasi Privilege LiteLLM Low-Privilege → Admin → RCE (CVSS 9.9, Obsidian Security)

KerentananHigh dampakGlobalCVE-2026-47101
Apa yang terjadi
Obsidian Security mengungkapkan rantai tiga kerentanan CVSS 9.9 di LiteLLM pada 11 Juni 2026, dilaporkan secara bertanggung jawab kepada BerriAI pada Februari 2026 dan sepenuhnya diperbaiki di v1.83.14-stable. CVE-2026-47101 memungkinkan pengguna internal mana pun untuk membuat API key dengan akses route wildcard; CVE-2026-47102 memungkinkan promosi diri ke proxy_admin melalui field user_role yang tidak terlindungi; CVE-2026-40217 memungkinkan RCE melalui panggilan exec() yang tidak disandboxkan di Custom Code Guardrail. Selain itu, Obsidian mendemonstrasikan serangan response-injection baru: proxy yang dikompromikan dapat secara diam-diam menulis ulang respons model dalam transit menggunakan callback bawaan, menyuntikkan panggilan tool berbahaya yang tidak pernah mencapai model, sepenuhnya melewati pertahanan prompt injection.
Mengapa penting
Rantai ini menunjukkan bahwa AI gateway, yang lama diperlakukan sebagai middleware pasif, kini menjadi target serangan kelas satu. Melampaui pencurian kredensial, teknik response-injection adalah kualitatif baru: tidak memanipulasi LLM — ia mengintersepsi wire antara model dan agent, mengubah gateway menjadi perangkat agent hijacking. Setiap agent yang melintasi proxy LiteLLM yang dikompromikan dapat dialihkan secara diam-diam. Radius ledakan mencakup semua workflow agent AI downstream, pipeline CI/CD menggunakan AI-assisted code review, dan tool yang terhubung MCP.
Vektor serangan
Rantai tiga langkah dari akun internal_user low-privilege default: (1) CVE-2026-47101 — membuat API key dengan allowed_routes:["/*"] untuk melewati RBAC tingkat route; (2) CVE-2026-47102 — POST user_role:"proxy_admin" ke /user/update untuk promosi diri ke admin penuh; (3) CVE-2026-40217 — gunakan endpoint Custom Code Guardrail exec() (tanpa filtering builtins) untuk pop reverse shell. Obsidian juga mendemonstrasikan response-injection terhadap Claude Code yang dialihkan melalui proxy yang dikompromikan — menyuntikkan panggilan tool berbahaya yang memberikan reverse shell pada mesin developer dari satu prompt 'hello'.
Sistem yang terdampak
BerriAI LiteLLM < 1.83.14-stable (CVE-2026-47101, CVE-2026-47102, CVE-2026-40217)
Mitigasi
Upgrade ke LiteLLM ≥1.83.14-stable (ketiga CVE diperbaiki). Dipublikasikan oleh Obsidian Security pada 11 Juni 2026; dilaporkan kepada BerriAI pada Februari 2026.
Sumber
Obsidian Security — Breaking LiteLLM (primary advisory, verified full text)latesthackingnews.com — LiteLLM Vulnerability Chain analysis (verified full text)The Hacker News — LiteLLM Vulnerability Chain Lets Low-Privilege Users Take Over AI Gateway Servers
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →