무슨 일이 있었나
CISA는 2026년 6월 9일 CVE-2026-42271을 Known Exploited Vulnerabilities 카탈로그에 추가하여 실제 악용이 진행 중임을 확인했습니다. 결함은 LiteLLM의 두 MCP 서버 프리뷰 엔드포인트에 존재하며, command, args, env 필드를 포함한 전체 서버 구성을 수용하고 검증 또는 샌드박싱 없이 제공된 명령을 서브프로세스로 생성합니다. LiteLLM, vLLM 및 많은 FastAPI 기반 AI 도구를 지원하는 ASGI 프레임워크인 Starlette의 호스트 헤더 파싱 결함인 CVE-2026-48710과 연계되면, 인증 요구 사항이 완전히 우회되어 인증 없는 RCE를 초래합니다. Horizon3.ai는 완전한 작동 개념 증명을 발표했습니다. CISA는 이 패턴을 'AI 게이트웨이 인프라에 대한 지속적인 표적 지정'으로 특징지었습니다.
왜 중요한가
LiteLLM은 엔터프라이즈 AI 배포를 위한 중앙 키 관리 및 라우팅 병목입니다. 침해는 구성된 모든 제공자 자격 증명(OpenAI, Anthropic, Azure, AWS Bedrock 등), 모든 프롬프트 및 응답 데이터(PII, 소스 코드, 붙여넣은 비밀 포함), 그리고 중요하게도 다운스트림 AI 에이전트로의 전송 중 모델 응답의 자동 변조를 허용합니다. 게이트웨이 수준의 침해는 공격자를 해당 게이트웨이를 통해 라우팅되는 모든 에이전트의 조종 메커니즘으로 전환합니다. CVE-2026-48710은 또한 vLLM 및 Starlette ≤1.0.0을 사용하는 경로 기반 인증의 다른 ASGI 앱에 영향을 미쳐 영향 범위를 상당히 넓힙니다.
공격 경로
공격자가 악성 stdio MCP 서버 구성(command/args/env 필드)이 포함된 /mcp-rest/test/connection 또는 /mcp-rest/test/tools/list에 조작된 POST를 전송합니다. LiteLLM은 호스트에서 샌드박스 없이 제공된 명령을 서브프로세스로 생성합니다. CVE-2026-48710 (Starlette 'BadHost' 호스트 헤더 우회)과 연계되면, 인증이 완전히 건너뛰어집니다 — 네트워크에서의 인증 없는 RCE. Horizon3.ai는 전체 체인을 입증하는 작동하는 PoC를 발표했습니다.
영향받는 시스템
BerriAI LiteLLM 1.74.2 – 1.83.6; Starlette 0.8.3 – 1.0.0
완화 방안
LiteLLM을 ≥1.83.7로, Starlette을 ≥1.0.1로 업그레이드하십시오. 이전에 노출된 경우 모든 제공자 키, 마스터 키 및 데이터베이스 자격 증명을 로테이션하십시오. MCP 테스트 엔드포인트를 PROXY_ADMIN 역할로 제한하십시오. CISA KEV 연방 기한은 2026년 6월 22일이었습니다.