事件经过
CISA 于 2026 年 6 月 9 日将 CVE-2026-42271 添加到其已知被利用的漏洞目录中,确认了野外主动利用。该漏洞存在于 LiteLLM 的两个 MCP 服务器预览端点中,这些端点接受完整的服务器配置(包括命令、参数和环境字段),并以无验证或沙箱的方式生成提供的命令作为子进程。与 CVE-2026-48710 链接(Starlette 中的主机头解析漏洞 — 支撑 LiteLLM、vLLM 和许多基于 FastAPI 的 AI 工具的 ASGI 框架),身份验证要求被完全绕过,导致未经身份验证的 RCE。Horizon3.ai 发布了完整的工作概念证明。CISA 将该模式描述为"对 AI 网关基础设施的持续针对"。
影响分析
LiteLLM 是企业 AI 部署的中心密钥管理和路由控制点。妥协会暴露每个已配置的提供商凭证(OpenAI、Anthropic、Azure、AWS Bedrock 等)、所有提示和响应数据(包括 PII、源代码和粘贴的机密)以及,最关键的是,允许对传输中的模型响应进行静默篡改以到达下游 AI 代理。网关级别的妥协会将攻击者转变为通过其路由的每个代理的控制机制。CVE-2026-48710 也影响 vLLM 和任何其他使用 Starlette ≤1.0.0 进行基于路径身份验证的 ASGI 应用,大大扩大了影响范围。
攻击途径
攻击者向 /mcp-rest/test/connection 或 /mcp-rest/test/tools/list 发送精心构造的 POST 请求,携带恶意的 stdio MCP 服务器配置(命令/参数/环境字段)。LiteLLM 在主机上以无沙箱方式生成提供的命令作为子进程。与 CVE-2026-48710(Starlette "BadHost" 主机头绕过)链接,身份验证完全跳过 — 来自网络的未经身份验证 RCE。Horizon3.ai 发布了演示完整链的工作 PoC。
受影响系统
BerriAI LiteLLM 1.74.2 – 1.83.6;Starlette 0.8.3 – 1.0.0
缓解措施
升级 LiteLLM 至 ≥1.83.7 和 Starlette 至 ≥1.0.1。如果之前暴露过,请轮换所有提供商密钥、主密钥和数据库凭证。将 MCP 测试端点限制为 PROXY_ADMIN 角色。CISA KEV 联邦期限为 2026 年 6 月 22 日。