← voltar
CVE-2026-42271

LiteLLM: Authenticated command execution via MCP stdio test endpoints

CVSS 8.7 HIGHEPSS 75.0%● KEVCWE-77CWE-78
Em resumo

O servidor proxy LiteLLM tinha dois endpoints de teste que permitiam usuários autenticados executar comandos arbitrários no servidor através de uma configuração maliciosa de MCP. Qualquer usuário com uma chave de API válida, mesmo com baixos privilégios, podia explorar isso para rodar código com as permissões do proxy.

Detalhe técnico

Vulnerabilidade de injeção de comando (CWE-77/CWE-78) nos endpoints POST /mcp-rest/test/connection e POST /mcp-rest/test/tools/list (versões 1.74.2–1.83.6). Atacantes com chaves de API válidas podiam fornecer comandos arbitrários na configuração de transporte stdio (campos command, args, env), que eram executados como subprocessos sem controle de acesso baseado em funções, resultando em execução de código na máquina proxy.

Resumo gerado e traduzido por IA a partir da descrição oficial.
LiteLLM is a proxy server (AI Gateway) to call LLM APIs in OpenAI (or native) format. From version 1.74.2 to before version 1.83.7, two endpoints used to preview an MCP server before saving it — POST /mcp-rest/test/connection and POST /mcp-rest/test/tools/list — accepted a full server configuration in the request body, including the command, args, and env fields used by the stdio transport. When called with a stdio configuration, the endpoints attempted to connect, which spawned the supplied command as a subprocess on the proxy host with the privileges of the proxy process. The endpoints were gated only by a valid proxy API key, with no role check. Any authenticated user — including holders of low-privilege internal-user keys — could therefore run arbitrary commands on the host. This issue has been patched in version 1.83.7.
CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:N/SA:N
Produtos afetados
BerriAI · litellm
PoCs públicas encontradas2
githubgithub.com/learner202649/CVE-2026-42271-PoC0githubgithub.com/HORKimhab/CVE-2026-422710
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://github.com/BerriAI/litellm/releases/tag/v1.83.7-stablehttps://github.com/BerriAI/litellm/security/advisories/GHSA-v4p8-mg3p-g94ghttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-42271