it

LiteLLM 취약점 CVE‑2026‑42271, 실전 악용·무인증 원격 코드 실행.

발행: (2026년 6월 9일 PM 03:26 GMT+9)
6 분 소요
원문: The Hacker News

출처: The Hacker News

Ravie Lakshmanan2026년 6월 9일 | 취약점 / 인공지능

미국 사이버보안 및 인프라 보안청(CISA)은 월요일에 CVE-2026-42271(CVSS 점수: 8.7)이라는 고위험 결함을 BerriAI LiteLLM에 적용되는 Known Exploited Vulnerabilities (KEV) 카탈로그에 추가했으며, 실제 악용 증거가 확인되었다고 발표했습니다.

이 취약점은 명령어 주입 결함으로, 인증된 사용자가 호스트에서 임의의 명령을 실행할 수 있습니다.

영향을 받는 LiteLLM Python 패키지 버전은 다음과 같습니다.

  • = 1.74.2

  • < 1.83.7

BerriAI가 공유한 취약점 설명에 따르면, “MCP 서버를 저장하기 전에 미리보기하는 두 엔드포인트인 POST /mcp-rest/test/connectionPOST /mcp-rest/test/tools/list 가 요청 본문에 전체 서버 구성을 포함하도록 허용했으며, 여기에는 stdio 전송에 사용되는 command, args, env 필드가 포함되었습니다.”

“stdio 구성을 사용해 호출될 경우, 해당 엔드포인트는 연결을 시도하면서 제공된 명령을 프록시 호스트에서 서브프로세스로 실행했으며, 이는 프록시 프로세스와 동일한 권한을 가집니다.”

오픈소스 AI 게이트웨이 및 Python SDK 유지관리자는 이 엔드포인트가 유효한 프록시 API 키만으로 보호되고 있었으며, 따라서 권한이 부여된 내부 사용자 키를 포함한 모든 인증된 사용자가 취약한 시스템에서 임의 명령을 실행할 수 있었다고 밝혔습니다.

버전 1.83.7에 포함된 패치에서는 두 테스트 엔드포인트 모두 PROXY_ADMIN 역할을 요구하도록 변경되어, 저장 엔드포인트와 일관성을 유지했습니다.

LiteLLM 무인증 원격 코드 실행 – Starlette Host Header 검증 우회

지난 주, Horizon3.ai는 CVE-2026-42271을 CVE-2026-48710 (CVSS 점수: 6.5)과 연계했으며, 이는 “BadHost”이라 불리는 Starlette(경량 비동기 서버 게이트웨이 인터페이스, ASGI) 프레임워크의 호스트 헤더 검증 우회 취약점입니다. 이를 통해 인증을 완전히 우회하고 취약한 LiteLLM 배포에 대해 원격 코드 실행을 달성할 수 있습니다.

“Horizon3.ai는 ‘Starlette 버전 ≤ 1.0.0을 포함하는 의존성 트리를 가진 LiteLLM 배포에서는 CVE-2026-48710을 이용해 인증 메커니즘을 완전히 우회할 수 있다’고 밝혔습니다. ‘이로써 해당 취약점은 자격 증명 없이도 무인증 원격 코드 실행으로 변환됩니다.’”

이 exploit 체인을 성공적으로 무기화하면 공격자는 LiteLLM 호스트에서 임의 명령을 실행하고, 모델 제공자 자격 증명을 탈취하며, 프록시가 보관한 API 키와 비밀을 훔치고, 연결된 AI 인프라로 횡방향 이동을 시도하며, 게이트웨이에 통합된 하위 시스템까지 손상시킬 수 있습니다.

Horizon3.ai에 따르면, 연계된 취약점의 종합 CVSS 점수는 10.0으로, 매우 위험한 수준입니다.

현재 이 취약점이 어떻게 악용되고 있는지, 공격자를 누가 수행하고 있는지, 대상은 누구인지, 공격이 얼마나 광범위하게 진행되고 있는지, 혹은 이미 인스턴스가 손상되었는지에 대한 정보는 없습니다. 또한, 실제 관찰된 공격이 이 exploit 체인을 이용하고 있는지도 확인되지 않았습니다.

권고 조치

  • LiteLLM을 버전 1.83.7 이상, Starlette를 버전 1.0.1 이상으로 업데이트하십시오.

  • 즉시 패치를 적용할 수 없는 경우, 다음과 같은 완화 조치를 권장합니다.

    • 역방향 프록시 또는 API 게이트웨이에서 POST /mcp-rest/test/connectionPOST /mcp-rest/test/tools/list 차단
    • 네트워크 접근을 신뢰할 수 있는 세그먼트로 제한
    • 프록시가 보관한 자격 증명 회전
    • 비정상적인 Host 헤더 활동 및 서브프로세스 실행 이벤트에 대한 로그 검토

이 개발은 LiteLLM의 치명적인 SQL 인젝션 취약점(CVE-2026-42208, CVSS 점수: 9.3)이 공개된 지 36시간 만에 활발히 악용되기 시작한 지 약 한 달 후에 발표되었습니다.

이 기사가 흥미로우셨나요? 더 많은 독점 콘텐츠를 보려면 Google News, TwitterLinkedIn을 팔로우하세요.

0 조회
#it #security #cybersecurity
원문 보기
Share:
Back to Blog

관련 글

더 보기 »