CISA hat CVE-2026-42271 am Montag in den Known Exploited Vulnerabilities-Katalog aufgenommen und dies mit Belegen für aktive Ausnutzung begründet. Die Lücke betrifft BerriAI LiteLLM und ist mit einem CVSS-Wert von 8,7 als hochriskant eingestuft.

Nach der von BerriAI veröffentlichten Fehlerbeschreibung lagen die Probleme in den beiden Endpunkten POST /mcp-rest/test/connection und POST /mcp-rest/test/tools/list. Diese Schnittstellen dienen dazu, einen MCP-Server vor dem Speichern zu testen. Sie akzeptierten im Request-Body eine vollständige Serverkonfiguration, einschließlich der für den stdio-Transport verwendeten Felder command, args und env.

Wurde eine solche stdio-Konfiguration übergeben, versuchten die Endpunkte laut BerriAI eine Verbindung aufzubauen. Dabei wurde der mitgelieferte Befehl als Unterprozess auf dem Proxy-Host ausgeführt – mit den Rechten des Proxy-Prozesses. Die Maintainer des Open-Source-AI-Gateways und Python-SDK erklärten, dass diese Endpunkte lediglich durch einen gültigen Proxy-API-Schlüssel geschützt waren. Dadurch konnte jeder authentifizierte Nutzer, einschließlich privilegierter interner Benutzerschlüssel, beliebige Befehle auf einem verwundbaren System ausführen.

Mit Version 1.83.7 hat BerriAI das Verhalten geändert. Beide Test-Endpunkte erfordern nun die Rolle PROXY_ADMIN und sind damit nach Angaben der Maintainer an den bereits stärker geschützten Speicher-Endpunkt angeglichen.

Zusätzliche Brisanz bekam die Schwachstelle durch eine Analyse von Horizon3.ai in der vergangenen Woche. Das Unternehmen erklärte, CVE-2026-42271 mit CVE-2026-48710 verketten zu können, einer Host-Header-Validierungsumgehung mit der Bezeichnung „BadHost“ in Starlette. Die Starlette-Lücke hat einen CVSS-Wert von 6,5 und betrifft das leichtgewichtige asynchrone ASGI-Framework.

Laut Horizon3.ai lässt sich CVE-2026-48710 in LiteLLM-Umgebungen ausnutzen, deren Abhängigkeitsbaum Starlette-Versionen bis einschließlich 1.0.0 enthält. Dadurch könne der Authentifizierungsmechanismus in LiteLLM vollständig umgangen werden. Nach Darstellung des Unternehmens wird aus der ursprünglich authentifizierten Schwachstelle so eine unauthentifizierte Remotecodeausführung ohne Zugangsdaten. Für die kombinierte Angriffskette nennt Horizon3.ai einen CVSS-Gesamtwert von 10,0 und stuft sie damit als kritisch ein.

Welche Angreifer hinter den beobachteten Aktivitäten stehen, wen sie ins Visier nehmen, wie verbreitet die Angriffe sind und ob bereits Instanzen erfolgreich kompromittiert wurden, ist derzeit nicht bekannt. Ebenfalls unklar ist, ob die in freier Wildbahn beobachteten Angriffe bereits die von Horizon3.ai beschriebene Exploit-Kette verwenden.

Empfohlen wird, LiteLLM auf Version 1.83.7 oder neuer sowie Starlette auf Version 1.0.1 oder neuer zu aktualisieren. Die Entwicklung folgt gut einen Monat auf eine weitere kritische LiteLLM-Schwachstelle: Die SQL-Injection-Lücke CVE-2026-42208 mit einem CVSS-Wert von 9,3 wurde binnen 36 Stunden nach ihrem Bekanntwerden aktiv ausgenutzt.