무슨 일이 있었나
SecureLayer7 Lab는 3개 CVE RCE 체인을 2026년 6월 29-30일에 발표했습니다(기사 발표 2026-06-29T13:31:46, 수정 2026-06-30). 이 체인은 '기본 내부 사용자'와 'LiteLLM 호스트의 RCE' 사이의 간격을 3개의 HTTP 호출을 수행하는 단일 Python 스크립트로 축소합니다. LiteLLM의 Metasploit 모듈도 SQL 주입 및 인증 우회 모듈을 포함하도록 업데이트되었습니다. 이 취약점은 또한 Security Boulevard의 2026년 6월 상위 CVE 목록에 플래그되었습니다.
왜 중요한가
LiteLLM는 모든 LLM 애플리케이션의 트래픽을 라우팅하는 엔터프라이즈에서 AI 게이트웨이로 배포됩니다. LiteLLM 프록시의 RCE는 공격자가 모든 업스트림 LLM 호출의 라우팅 계층을 제어할 수 있음을 의미합니다. 이는 대규모 프롬프트 주입, 구성된 모든 LLM 공급자의 자격증명 도용, 응답 변조 및 전체 모델 트래픽 가로채기를 활성화합니다. 이것은 진정한 AI 공급망 공격 벡터입니다.
공격 경로
Step 1 (CVE-2026-47101): allowed_routes: ['/*']를 사용한 POST /key/generate는 기본 internal_user 키를 와일드카드 접근 키로 업그레이드합니다. Step 2 (CVE-2026-49468): LiteLLM의 프록시 인증 계층의 호스트 헤더 주입은 관리자 역할 검사를 우회합니다. Step 3 (CVE-2026-35029): /config/update 엔드포인트는 관리자 역할 강제를 부족하여 환경 변수 및 구성 변경을 허용하고 RCE로 이어집니다. 전체 체인은 기본 권한 내부 사용자로부터 3개의 HTTP 요청으로 2초 이내에 실행됩니다.
영향받는 시스템
LiteLLM 프록시 1.84.0 이전(3개 CVE 체인: CVE-2026-47101, CVE-2026-49468, CVE-2026-35029)
완화 방안
LiteLLM 1.84.0 이상으로 업그레이드하세요. SecureLayer7 공지: https://blog.securelayer7.net/litellm-three-cve-rce-ai-supply-chain-attack