La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el lunes una falla de alta gravedad que afecta a BerriAI LiteLLM a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa.
La vulnerabilidad, rastreada como CVE-2026-42271 (Puntuación CVSS: 8,7) es una vulnerabilidad de inyección de comandos que podría permitir a cualquier usuario autenticado ejecutar comandos arbitrarios en el host.
Afecta a la siguiente versión del paquete LiteLLM Python:
«Dos puntos finales utilizados para obtener una vista previa de un servidor MCP antes de guardarlo – POST /mcp-rest/test/connection y POST /mcp-rest/test/tools/list – aceptaron una configuración completa del servidor en el cuerpo de la solicitud, incluidos los campos comando, args y env utilizados por el transporte stdio», según una descripción de la falla compartida por BerriAI.
«Cuando se les llamó con una configuración stdio, los puntos finales intentaron conectarse, lo que generó el comando proporcionado como un subproceso en el host proxy con los privilegios del proceso proxy».
Los mantenedores de la puerta de enlace AI de código abierto y el SDK de Python dijeron que los puntos finales estaban protegidos solo por medio de una clave API proxy válida, como resultado de lo cual cualquier usuario autenticado, incluidas las claves de usuario interno privilegiado, podría ejecutar comandos arbitrarios en un sistema susceptible.
Como parte de los parches lanzados en la versión 1.83.7, ambos puntos finales de prueba ahora requieren la función PROXY_ADMIN, lo que lo hace coherente con el punto final de guardado.
LiteLLM Ejecución remota de código no autenticado a través de la omisión de validación del encabezado del host Starlette
La semana pasada, Horizon3.ai dijo que encadenó CVE-2026-42271 con CVE-2026-48710 (puntaje CVSS: 6.5), una vulnerabilidad de omisión de validación de encabezado de host «BadHost» que afecta a Starlette, un marco liviano de interfaz de puerta de enlace de servidor asincrónico (ASGI), para eludir por completo la autenticación y lograr la ejecución remota de código contra implementaciones vulnerables de LiteLLM.
«CVE-2026-48710 se puede utilizar para omitir completamente el mecanismo de autenticación en implementaciones LiteLLM cuyo árbol de dependencia incluye versiones de Starlette ≤ 1.0.0», dijo Horizon3.ai. «Esto transforma la vulnerabilidad en una ejecución remota de código no autenticado sin necesidad de credenciales».
La utilización exitosa de la cadena de exploits como arma podría permitir a los atacantes ejecutar comandos arbitrarios en el host LiteLLM, acceder a las credenciales del proveedor del modelo, desviar claves API y secretos almacenados por el proxy, moverse lateralmente a la infraestructura de IA conectada e incluso comprometer los sistemas posteriores integrados con la puerta de enlace.
Según Horizon3.ai, la vulnerabilidad encadenada tiene una puntuación CVSS combinada de 10,0, lo que la hace crítica por naturaleza.
Actualmente no hay información sobre cómo se está explotando CVE-2026-42271, la identidad de los actores de amenazas detrás de los esfuerzos, quiénes son el objetivo, qué tan extendidos están estos ataques o si la actividad ha comprometido con éxito alguna instancia. Tampoco está claro si los ataques observados en la naturaleza están aprovechando la cadena de explotación.
Se recomienda a los usuarios actualizar LiteLLM a la versión 1.83.7 o posterior y Starlette a la versión 1.0.1 o posterior. Si la aplicación inmediata de parches no es una opción, se recomiendan las siguientes mitigaciones:
- Bloquee POST /mcp-rest/test/connection y POST /mcp-rest/test/tools/list en el proxy inverso o la puerta de enlace API.
- Restrinja el acceso a la red a segmentos confiables.
- Rotar las credenciales almacenadas por el proxy.
- Revise los registros para detectar actividades inusuales en el encabezado del host y eventos de ejecución de subprocesos.
El desarrollo se produce poco más de un mes después de que una falla crítica de inyección SQL en LiteLLM (CVE-2026-42208, puntuación CVSS: 9.3) fuera explotada activamente dentro de las 36 horas posteriores a que el error se hiciera público.