6月8日美國網路安全與基礎設施安全局(CISA)表示已掌握漏洞被積極利用的證據,將LiteLLM高風險漏洞CVE-2026-42271加入已遭利用漏洞列表(KEV),要求聯邦機構於6月22日前完成修補,究竟駭客如何利用漏洞,CISA並未說明。然而在此之前,有資安公司警告,若是攻擊者串連另一個已知漏洞,將能變成威力極為強大的武器。
上週威脅情報公司Horizon3.ai指出,攻擊者利用CVE-2026-42271的基本條件,就是通過身分驗證,然而他們發現,若是搭配存在於Python非同步(ASGI)框架Starlette的中度風險漏洞CVE-2026-48710,就有可能在依賴自架Gitea的開發環境裡,形成CVSS風險10分滿分的重大弱點,完全繞過LiteLLM的身分驗證請求,從而導致遠端程式碼執行,讓攻擊者以LiteLLM代理程式執行指令,呼籲用戶應儘速更新LiteLLM與Starlette因應。
雖然Starlette並非架設LiteLLM的必要元件,但由於LiteLLM提供代理伺服器模式,再加上指引文件經常以FastAPI範例,FastAPI就是以Starlette和Pydanic開發而成,因此,不少LiteLLM用戶選擇採用Starlette設置代理伺服器或API閘道,使得Horizon3.ai提出的漏洞利用環境很可能出現在實際的LiteLLM平臺。
