事件经过
Obsidian Security 于 2026 年 6 月 11 日披露了 LiteLLM 中的 CVSS 9.9 三漏洞链,该链已于 2026 年 2 月负责任地报告给 BerriAI,并已在 v1.83.14-stable 中完全修补。CVE-2026-47101 允许任何内部用户铸造具有通配符路由访问权限的 API 密钥;CVE-2026-47102 允许通过未保护的 user_role 字段自我提升至 proxy_admin;CVE-2026-40217 允许通过自定义代码护栏的未沙箱化 exec() 调用进行 RCE。此外,Obsidian 演示了一种新颖的响应注入攻击:受损的代理可以使用内置回调在传输中静默重写模型响应,注入恶意工具调用而不到达模型,完全绕过提示注入防御。
影响分析
这条链表明,长期被视为被动中间件的 AI 网关,现在已成为一流的攻击目标。除了凭证窃取外,响应注入技术在质量上是新的:它不操纵 LLM — 它拦截模型和代理之间的线路,将网关转变为代理劫持设备。通过受损的 LiteLLM 代理路由的每个代理都可以被静默重定向。影响范围包括所有下游 AI 代理工作流、使用 AI 辅助代码审查的 CI/CD 管道和 MCP 连接的工具。
攻击途径
从默认的低权限 internal_user 帐户的三步链:(1) CVE-2026-47101 — 创建具有 allowed_routes:["/*"] 的 API 密钥以绕过路由级 RBAC;(2) CVE-2026-47102 — POST user_role:"proxy_admin" 到 /user/update 以自我提升至完全管理员;(3) CVE-2026-40217 — 使用自定义代码护栏 exec() 端点(无内置函数过滤)弹出反向 shell。Obsidian 还演示了针对通过受损代理路由的 Claude Code 的响应注入 — 注入恶意工具调用,该调用从单个"hello"提示在开发人员机器上提供了反向 shell。
受影响系统
BerriAI LiteLLM < 1.83.14-stable (CVE-2026-47101、CVE-2026-47102、CVE-2026-40217)
缓解措施
升级到 LiteLLM ≥1.83.14-stable(三个 CVE 均已修补)。由 Obsidian Security 于 2026 年 6 月 11 日发布;于 2026 年 2 月报告给 BerriAI。