CVE-2026-42271 : RCE non-auth LiteLLM, CISA KEV juin 2026

Les faits

Le 8 juin 2026, la CISA a ajoute CVE-2026-42271 a son catalogue KEV (Known Exploited Vulnerabilities), confirmant une exploitation active de cette vulnerabilite d'injection de commandes affectant LiteLLM, l'une des passerelles d'IA (AI Gateway) open-source les plus deployees en entreprise. Avec un score CVSS 8.7 en isolation, la faille devient particulierement dangereuse lorsqu'elle est chainee avec CVE-2026-48710, un contournement d'authentification dans le framework web Starlette, qui eleve l'impact combine a un CVSS 10.0 critique. Les chercheurs d'Horizon3.ai ont ete les premiers a documenter cette chaine d'exploitation et a en demontrer la faisabilite sur des instances de production.

CVE-2026-42271 reside dans les endpoints de previsualisation du serveur MCP (Model Context Protocol) de LiteLLM : POST /mcp-rest/test/connection et POST /mcp-rest/test/tools/list. Ces endpoints ont ete concus pour permettre aux utilisateurs de tester une configuration de serveur MCP avant de la sauvegarder. Probleme fondamental : ils acceptent en entree un objet de configuration complet incluant les champs command, args et env utilises par le transport stdio, sans valider ni assainir les valeurs recues. Un attaquant peut fournir une commande systeme arbitraire qui est executee directement sur le serveur hote avec les privileges du processus LiteLLM.

CVE-2026-48710, surnomme BadHost, est une vulnerabilite de contournement de validation du header HTTP Host dans le framework Starlette sur lequel LiteLLM repose. Ce bypass permet a un attaquant non authentifie de contourner les mecanismes de protection bases sur l'IP ou le nom d'hote, supprimant l'exigence d'authentification normalement requise pour acceder aux endpoints /mcp-rest/test/. La chaine CVE-2026-48710 vers CVE-2026-42271 aboutit a une execution de commandes distante sans aucune authentification, depuis n'importe quelle origine reseau atteignant le service LiteLLM.

L'impact d'une exploitation reussie va bien au-dela de la simple compromission du serveur hote. LiteLLM, en tant que proxy et passerelle centralisee vers de multiples fournisseurs LLM, stocke les cles API des modeles d'IA (OpenAI, Anthropic, Gemini, Mistral, etc.), les secrets de configuration, les tokens d'acces, ainsi que les donnees de journalisation des requetes. Un attaquant exploitant cette chaine peut exfiltrer l'ensemble de ces credentials, pivoter vers les systemes connectes a l'infrastructure IA, et compromettre en cascade tous les services integres avec le gateway. Les chercheurs d'Horizon3.ai ont confirme qu'une exfiltration des API keys etait triviale une fois l'acces RCE obtenu.

LiteLLM est massivement deploye dans les environnements d'entreprise, les plateformes de developpement IA, et les infrastructures MLOps. Sa popularite vient de sa capacite a unifier l'acces a plus de 100 modeles LLM sous une API OpenAI-compatible. Les instances exposees directement sur Internet representent la surface d'attaque principale, mais les deploiements Kubernetes ou Docker accessibles depuis le reseau interne sont egalement vulnerables si un attaquant a penetre le perimetre. Selon Horizon3.ai, l'exploitation ne requiert aucun outil specialise : une simple requete HTTP avec un header Host manipule suffit a contourner l'authentification.

La divulgation de ces vulnerabilites s'inscrit dans un contexte plus large d'attaques ciblant l'infrastructure IA en 2026. Les passerelles LLM comme LiteLLM, Ollama, et les serveurs MCP sont devenus des cibles de choix pour les acteurs malveillants cherchant a acceder aux modeles proprietaires, voler des donnees d'entrainement, ou injecter des reponses malveillantes. La CISA a souligne que l'ajout au KEV reflete des preuves tangibles d'exploitation active, pas seulement theorique. Les delais de remediation pour les agences federales americaines (FCEB) ont ete fixes conformement a la directive BOD 22-01.

La correction est disponible depuis LiteLLM 1.83.7, qui desactive les endpoints de previsualisation MCP non authentifies et implemente une validation stricte des parametres command, args et env. La mise a jour de Starlette vers 1.0.1 corrige CVE-2026-48710 en renforçant la validation du header Host. Les deux mises a jour doivent etre appliquees conjointement : le patch LiteLLM seul ne neutralise pas completement le vecteur d'attaque si Starlette reste vulnerable au BadHost bypass.

D'apres les donnees de Shodan et Censys analysees par plusieurs equipes de recherche, des milliers d'instances LiteLLM seraient exposees directement sur Internet, dont une proportion significative dans des environnements de production. La CISA recommande d'auditer immediatement les logs d'acces des endpoints /mcp-rest/ pour detecter d'eventuelles tentatives d'exploitation anterieures a la mise a jour et d'identifier si une compromission a deja eu lieu.

Impact et exposition

La surface d'attaque exposee est considerable. Tout deploiement LiteLLM anterieur a la version 1.83.7 fonctionnant avec Starlette anterieur a 1.0.1 et accessible sur un reseau est vulnerable a une prise de controle complete sans authentification. Cela inclut les instances sur cloud public (AWS, GCP, Azure), les deploiements Kubernetes, et les serveurs dedies. La condition d'exploitation se resume a la capacite d'envoyer des requetes HTTP au service -- aucune connaissance prealable de credentials n'est requise.

L'exploitation active confirmee par la CISA signifie que des attaquants ont deja compromis des systemes reels. Les organisations utilisant LiteLLM pour orchestrer des workflows d'IA en production -- pipelines RAG, agents autonomes, chatbots d'entreprise -- doivent considerer leurs cles API LLM comme potentiellement compromises si leurs instances sont exposees et non patchees. La rotation immediate de tous les secrets stockes dans LiteLLM est recommandee en parallele de la mise a jour.

L'impact financier peut etre significatif : le vol de cles API OpenAI ou Anthropic permet a un attaquant de consommer des credits LLM aux frais de la victime, d'acceder aux donnees d'entrainement fine-tuning, ou de vendre les credentials sur des marches souterrains. Des cas d'utilisation de cles API volees pour du cryptomining via les LLM API ou du spam a grande echelle via des modeles de generation de contenu ont ete documentes en 2026 selon les rapports de plusieurs societes de cybersecurite.

La menace est amplifiee par la disponibilite d'informations techniques detaillees publiees par Horizon3.ai, qui documente precisement la sequence d'exploitation. Bien qu'aucun exploit package grand public n'ait encore ete confirme, la qualite de la documentation disponible rend le developpement d'outils automatises trivial pour des acteurs moderement competents, elargissant la population d'attaquants potentiels bien au-dela des groupes sophistiques.

Recommandations immediates

• Mettre a jour LiteLLM vers la version 1.83.7 ou superieure -- release notes officielles sur le depot GitHub berriai/litellm
• Mettre a jour Starlette vers la version 1.0.1 ou superieure pour corriger CVE-2026-48710 (BadHost bypass)
• Auditer les logs d'acces aux endpoints POST /mcp-rest/test/connection et POST /mcp-rest/test/tools/list pour detecter des acces non autorises anterieurs au patch
• Faire pivoter immediatement toutes les cles API (OpenAI, Anthropic, Gemini, etc.) stockees dans LiteLLM si l'instance etait exposee et non patchee
• Restreindre l'acces reseau aux endpoints /mcp-rest/ via un pare-feu applicatif ou une regle WAF si la mise a jour ne peut pas etre appliquee immediatement
• Desactiver les endpoints MCP preview dans la configuration si le serveur MCP n'est pas utilise en production