Vulnerabilidade crítica em LiteLLM permite execução remota de código e exige ação imediata de empresas
Uma vulnerabilidade crítica de injeção de comando (CVE-2026-42271) foi descoberta no BerriAI LiteLLM, uma ferramenta open-source para desenvolvimento de IA, e está sendo ativamente explorada. A falha, que pode levar à execução remota de código não autenticada quando combinada com outra vulnerabilidade, foi adicionada ao Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da CISA, exigindo correção urgente por parte das empresas que utilizam a ferramenta para gerenciar APIs de LLMs.
A comunidade de segurança cibernética está em alerta após a Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA adicionar uma vulnerabilidade crítica de injeção de comando, identificada como CVE-2026-42271, ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV). A falha afeta o BerriAI LiteLLM, um gateway open-source e SDK Python para chamadas de APIs de Large Language Models (LLMs), e está sob exploração ativa.
O que mudou na prática
A vulnerabilidade CVE-2026-42271 reside em duas endpoints de teste do servidor MCP do LiteLLM: POST /mcp-rest/test/connection e POST /mcp-rest/test/tools/list. Essas endpoints, nas versões 1.74.2 a 1.83.6 do LiteLLM, aceitavam configurações completas de servidor no corpo da requisição, incluindo campos como command, args e env para o transporte stdio. Quando invocadas com uma configuração stdio, as endpoints tentavam se conectar, o que resultava na execução do comando fornecido como um subprocesso no host proxy, com os privilégios do processo proxy.
Originalmente, a falha permitia que qualquer usuário autenticado com uma chave de API válida, mesmo com baixos privilégios, executasse comandos arbitrários no servidor. No entanto, pesquisadores da Horizon3.ai descobriram que a CVE-2026-42271 pode ser encadeada com outra vulnerabilidade, a CVE-2026-48710, uma falha de bypass de validação de cabeçalho Host no framework Starlette (versões ≤ 1.0.0). Essa combinação eleva o risco para execução remota de código (RCE) não autenticada, com uma pontuação CVSS combinada de 10.0, tornando-a extremamente crítica.
A BerriAI, mantenedora do LiteLLM, corrigiu o problema na versão 1.83.7. A correção implementa controles de autorização adicionais, permitindo que apenas usuários com a função PROXY_ADMIN chamem as endpoints de teste, e atualiza as dependências do Starlette.
Impacto e por que importa para as decisões de negócio
Para empresas brasileiras que utilizam o LiteLLM em seus pipelines de desenvolvimento ou produção de IA, a exploração ativa desta vulnerabilidade representa um risco imediato e severo. A execução remota de código por atacantes, seja autenticada ou não, pode levar a uma série de consequências devastadoras:
- Roubo de credenciais e chaves de API: Atacantes podem acessar credenciais de provedores de modelos, chaves de API e segredos armazenados pelo proxy, comprometendo o acesso a serviços de LLMs e outros sistemas conectados.
- Comprometimento de dados: A capacidade de executar comandos arbitrários no host permite o acesso, exfiltração ou manipulação de dados sensíveis armazenados no servidor ou em sistemas conectados.
- Movimento lateral e comprometimento de infraestrutura de IA: Uma vez no sistema, os atacantes podem usar o acesso para se moverem lateralmente dentro da infraestrutura de IA da empresa, comprometendo outros sistemas e serviços integrados ao gateway.
- Interrupção de serviços: A manipulação ou destruição de sistemas pode causar interrupções significativas nas operações de IA, resultando em perdas financeiras e danos à reputação.
Esta situação sublinha a crescente importância da segurança na cadeia de suprimentos de software de IA. Ferramentas open-source, embora essenciais para a inovação, exigem diligência contínua na gestão de vulnerabilidades. A inclusão da CVE-2026-42271 no catálogo KEV da CISA significa que agências federais dos EUA são obrigadas a remediar a falha, e a CISA “exorta fortemente todas as organizações” a fazerem o mesmo, dada a evidência de exploração em campo.
O que monitorar e próximos passos
Empresas brasileiras que utilizam o BerriAI LiteLLM devem agir imediatamente para mitigar o risco. Os passos essenciais incluem:
- Atualização urgente: Atualize o LiteLLM para a versão 1.83.7 ou superior. Se a árvore de dependências incluir Starlette, certifique-se de que esteja na versão 1.0.1 ou posterior.
- Restrição de acesso: Bloqueie o acesso às endpoints
POST /mcp-rest/test/connectionePOST /mcp-rest/test/tools/listem proxies reversos ou gateways de API, se a atualização imediata não for possível. - Revisão de credenciais: Gire todas as credenciais e chaves de API armazenadas pelo proxy LiteLLM, pois podem ter sido comprometidas.
- Monitoramento de logs: Monitore ativamente os logs em busca de atividades incomuns no cabeçalho
Hoste eventos de execução de subprocessos originados de instâncias do LiteLLM. - Segmentação de rede: Restrinja o acesso à rede para segmentos confiáveis, isolando a infraestrutura de IA.
- Auditoria de segurança: Realize auditorias de segurança em todos os sistemas que interagem com o LiteLLM e na infraestrutura de IA conectada para identificar possíveis comprometimentos.
A CISA estabeleceu o dia 22 de junho de 2026 como prazo para que as agências federais dos EUA corrijam a falha no LiteLLM. Para o setor privado, a recomendação é seguir essa diretriz com a mesma urgência, dada a natureza crítica e a exploração ativa da vulnerabilidade.
Fontes consultadas
- CISA Adds Two Known Exploited Vulnerabilities to Catalog · CISA
- LiteLLM Flaw CVE-2026-42271 Exploited in the Wild, Chains to Unauthenticated RCE · The Hacker News
- U.S. CISA adds BerriAI LiteLLM and Check Point Security Gateway flaws to its Known Exploited Vulnerabilities catalog · Security Affairs
- LiteLLM And Starlette Bugs Combine For Critical RCE Risk · Open Source For You
- LiteLLM vulnerability under active attack, CISA warns (CVE-2026-42271) · Help Net Security
- CVE-2026-42271 Detail - NVD · National Vulnerability Database (NVD)
- CVE-2026-42271: Litellm Litellm RCE Vulnerability · SentinelOne