Hackers nutzen LiteLLM-Schwachstelle, um beliebige Befehle auszuführen

Diese Annahme wurde widerlegt, als Forscher von Horizon3.ai sie mit CVE-2026-48710 verknüpften, einem „BadHost"-Host-Header-Validierungs-Bypass bei Starlette, der Versionen 1.0.0 und ältere des HTTP-Host-Headers zur Ausnutzung des Starlette-Authentifizierungs-Bypasses können Angreifer die Anforderung nach einem API-Schlüssel bei LiteLLM vollständig umgehen.

Die Folge ist, dass nicht authentifizierter Remote-Code-Ausführungs-Befehle mit denselben Berechtigungen wie der LiteLLM-Proxy-Prozess ausgeführt werden, ohne dass eine Anmeldung oder ein API-Schlüssel erforderlich ist. Betroffen sind Versionen 1.74.2 bis 1.83.6 in Bereitstellungen, deren Abhängigkeitsbaum Starlette ≤ 1.0.0 enthält.

Ausgenutzte LiteLLM-RCE-Schwachstelle. Eine erfolgreiche Ausnutzung dieser verknüpften Schwachstelle ermöglicht Angreifern erheblichen Zugriff auf AI-Infrastrukturen. Sobald die Codeausführung erreicht ist, können Angreifer:

Technik und Auswirkungen

Willkürliche Betriebssystembefehle auf dem LiteLLM-Host ausführen

API-Schlüssel und Modellanbieter-Zugangsdaten abgreifen, die vom Proxy gespeichert werden

Geheimnisse und Umgebungsvariablen im Proxy-Prozess einsehen

Technischer Hintergrund

Lateral in verbundene KI-Infrastrukturen und nachgelagerte Systeme vorstoßen Da LiteLLM weit verbreitet ist, um API-Aufrufe an große Sprachmodelle (LLMs), Anthropic und Azure zu routen und zu verwalten, kann eine Kompromittierung der Gateway-Schicht zu einer breiteren Exposition der KI-Versorgungskette führen. Indikatoren für Kompromittierungen Sicherheits-Teams sollten nach folgenden Anzeichen für Ausnutzungsaktivitäten suchen:

Unerwartete Ausführung, die vom LiteLLM-Prozess stammen

HTTP-Anfragen, die auf /mcp-rest/test/connection oder /mcp-rest/test/tools/list gerichtet sind

Ungewöhnliche oder fehlerhafte Host-Header-Werte in Proxy-Protokollen

Ungewöhnliche oder fehlerhafte Host-Header-Werte in Proxy-Protokollen

Unbefugte Befehlsausführungsereignisse auf dem Wirtssystem Organisationen sollten LiteLLM unverzüglich auf Version 1.83.7 oder höher aktualisieren und sicherstellen, dass Starlette auf Version 1.0.1 oder höher aktualisiert ist. Falls eine sofortige Patchung nicht möglich ist, sollten Verteidiger folgende Maßnahmen ergreifen:

Den externen Zugriff auf die MCP-Test-Endpunkte blockieren

Technischer Hintergrund

Den Proxy-Netzwerkzugriff auf vertrauenswürdige Segmente beschränken

Alle vom Proxy gespeicherten Credentials und API-Schlüssel rotieren

Protokolle auf anomale Host-Header-Werte und Unterprozessereignisse überprüfen Angesichts der aktiven Ausnutzung in der Wildnis sollte die Patchung für jede Organisation, die eine selbst gehostete LiteLLM-Installation betreibt, als Notfallpriorität behandelt werden. Sie uns auf