事件经过
SecureLayer7 Lab 于 2026 年 6 月 29-30 日发布三 CVE RCE 链(文章发布于 2026-06-29T13:31:46,修改于 2026-06-30)。该链将"默认内部用户"和"在 LiteLLM 主机上执行 RCE"之间的差距合并为一个 Python 脚本,发出三次 HTTP 调用。LiteLLM 的 Metasploit 模块也被更新以包含 SQL 注入和身份验证绕过模块。该漏洞也在 Security Boulevard 的《2026 年 6 月顶级 CVE》列表中被标记。
影响分析
LiteLLM 由企业部署为 AI 网关,为所有 LLM 应用程序路由流量。LiteLLM 代理上的 RCE 意味着攻击者控制所有上游 LLM 调用的路由层——启用大规模提示注入、来自每个配置的 LLM 提供商的凭证盗取、响应篡改和完整的模型流量拦截。这是真正的 AI 供应链攻击向量。
攻击途径
第 1 步(CVE-2026-47101):POST /key/generate with allowed_routes: ['/*'] 将默认 internal_user 密钥升级为通配符访问密钥。第 2 步(CVE-2026-49468):LiteLLM 代理身份验证层中的主机头注入绕过管理员角色检查。第 3 步(CVE-2026-35029):/config/update 端点缺少管理员角色执行,允许环境变量和配置突变导致 RCE。整个链从默认权限内部用户在 2 秒内执行,共 3 次 HTTP 请求。
受影响系统
LiteLLM 代理 1.84.0 之前(三 CVE 链:CVE-2026-47101、CVE-2026-49468、CVE-2026-35029)
缓解措施
升级到 LiteLLM 1.84.0 或更高版本。SecureLayer7 公告:https://blog.securelayer7.net/litellm-three-cve-rce-ai-supply-chain-attack