LiteLLM ist ein Open-Source-Proxy und sitzt zwischen LLM-Anwendungen und den großen Modellanbietern, routet Anfragen, verwaltet API-Schlüssel und setzt Rate Limits durch. Genau diese zentrale Stellung im KI-Stack macht eine kürzlich bekanntgewordene Schwachstelle besonders brisant.
CVE-2026-42271 ist eine Command-Injection-Schwachstelle mit einem CVSS-Score von 8.7, die es jedem authentifizierten Nutzer erlaubt, beliebige Befehle auf dem Host auszuführen. Betroffen sind zwei Endpunkte, die eigentlich nur dazu gedacht waren, einen MCP-Server vor dem Speichern zu testen (POST /mcp-rest/test/connection und POST /mcp-rest/test/tools/list), die aber eine vollständige Serverkonfiguration inklusive command, args und env-Feldern für den stdio-Transport entgegennahmen. Die Endpunkte waren nur durch einen gültigen Proxy-API-Key geschützt und führten die stdio-Konfiguration als Subprozess aus; ein Rollencheck auf Admin-Rechte fehlte.
Richtig kritisch wird es in Kombination mit einer zweiten Lücke: Horizon3.ai verkettete CVE-2026-42271 mit CVE-2026-48710, einer „BadHost“ genannten Host-Header-Validierungslücke in der Starlette-Bibliothek, um die Authentifizierung vollständig zu umgehen und unauthentifizierte Remote Code Execution ganz ohne Zugangsdaten zu erreichen. Die CISA hat die Lücke inzwischen wegen Hinweisen auf aktive Ausnutzung in ihren Known-Exploited-Vulnerabilities-Katalog aufgenommen.
Wer nicht sofort patchen kann, sollte zumindest die betroffenen Endpunkte am Reverse Proxy oder API-Gateway blockieren, den Netzwerkzugriff auf vertrauenswürdige Segmente beschränken und alle vom Proxy verwalteten Zugangsdaten rotieren.
Ein weiteres Beispiel dafür, dass KI-Gateways längst kritische Komponenten sind und entsprechend rollenbasiert abgesichert und gepatcht werden müssen.
Horizon3.ai-Analyse zur Verkettung mit CVE-2026-48710: https://horizon3.ai/attack-research/vulnerabilities/cve-2026-42271-chained-with-cve-2026-48710/
GitHub Security Advisory (BerriAI/LiteLLM): https://github.com/advisories/GHSA-v4p8-mg3p-g94g, https://github.com/BerriAI/litellm/security/advisories/GHSA-v4p8-mg3p-g94g
NVD-Eintrag: https://nvd.nist.gov/vuln/detail/CVE-2026-42271
CISA KEV-Katalog (Filter auf diese CVE): https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-42271
