무슨 일이 있었나
Obsidian Security는 2026년 6월 11일 LiteLLM의 CVSS 9.9 3개 취약점 체인을 공개했으며, 2026년 2월 BerriAI에 책임감 있게 보고되었고 v1.83.14-stable에서 완전히 패치되었습니다. CVE-2026-47101은 모든 내부 사용자가 와일드카드 경로 접근 권한이 있는 API 키를 발급할 수 있으며; CVE-2026-47102은 보호되지 않은 user_role 필드를 통해 proxy_admin으로 자체 승격을 허용하고; CVE-2026-40217은 Custom Code Guardrail의 샌드박스 처리되지 않은 exec() 호출을 통해 RCE를 허용합니다. 또한 Obsidian은 새로운 응답 주입 공격을 시연했습니다: 손상된 프록시는 내장 콜백을 사용하여 전송 중 모델 응답을 조용히 다시 작성하고, 모델에 도달하지 않는 악의적 도구 호출을 주입하여 프롬프트 주입 방어를 완전히 우회합니다.
왜 중요한가
이 체인은 AI 게이트웨이가 오랫동안 수동적 미들웨어로 취급되었지만 이제는 1급 공격 대상임을 보여줍니다. 자격증명 도용을 넘어서 응답 주입 기법은 질적으로 새로운 것입니다: LLM을 조작하지 않고 모델과 에이전트 사이의 연결을 가로채서 게이트웨이를 에이전트 하이재킹 장치로 전환합니다. 손상된 LiteLLM 프록시를 통해 라우팅하는 모든 에이전트는 조용히 리디렉션될 수 있습니다. 영향 범위에는 모든 다운스트림 AI 에이전트 워크플로우, AI 지원 코드 리뷰를 사용하는 CI/CD 파이프라인, MCP 연결 도구가 포함됩니다.
공격 경로
기본 낮은 권한 internal_user 계정에서의 3단계 체인: (1) CVE-2026-47101 — allowed_routes:["/*"]을 사용하여 API 키를 생성하여 경로 수준 RBAC 우회; (2) CVE-2026-47102 — /user/update에 user_role:"proxy_admin"을 POST하여 전체 관리자로 자체 승격; (3) CVE-2026-40217 — Custom Code Guardrail exec() 엔드포인트(기본 제공 함수 필터링 없음)를 사용하여 역방향 셸 팝업. Obsidian은 또한 손상된 프록시를 통해 라우팅된 Claude Code에 대한 응답 주입을 시연했습니다 — 단일 'hello' 프롬프트에서 개발자 머신에 역방향 셸을 제공하는 악의적 도구 호출을 주입했습니다.
영향받는 시스템
BerriAI LiteLLM < 1.83.14-stable (CVE-2026-47101, CVE-2026-47102, CVE-2026-40217)
완화 방안
LiteLLM ≥1.83.14-stable로 업그레이드하세요 (3개 CVE 모두 패치됨). Obsidian Security에서 2026년 6월 11일 공개; 2026년 2월 BerriAI에 보고됨.