CISA ने 8 जून 2026 को CVE-2026-42271 को अपने Known Exploited Vulnerabilities catalog में जोड़ा, जंगल में active exploitation की पुष्टि करते हुए और federal civilian agencies को remediate करने के लिए 22 जून तक का समय देते हुए। यह vulnerability LiteLLM में एक command-injection खामी है, BerryAI का open-source project जो teams को दर्जनों model providers के सामने एक single OpenAI-format interface देता है, या तो Python SDK के रूप में या, यहाँ अधिक प्रासंगिक रूप से, एक standalone AI gateway और proxy के रूप में deploy किया जाता है जो API keys, cost tracking और traffic routing को manage करता है। अगर तुम production में एक LLM proxy चलाते हो, इसकी एक significant chance है कि वह LiteLLM है, और यही ठीक वह कारण है कि यह अपनी CVSS line अकेले जितना सुझाएगी उससे ज़्यादा मायने रखता है।

Mechanism specific है और समझने लायक है। दो endpoints, POST /mcp-rest/test/connection और POST /mcp-rest/test/tools/list, पूरी server configurations स्वीकार करते थे और फिर दिए गए commands को proxy process के privileges के साथ चलते हुए subprocesses के रूप में spawn करते थे, input की उचित sanitization के बिना। यह textbook command injection है: वह input जो एक MCP server का वर्णन करने वाला था जिसे test करना है, उसके बजाय एक command बन जाता है जिसे host execute करता है। Initial access नाममात्र रूप से एक valid proxy API key की आवश्यकता है, जो एक significant barrier जैसा लगता है जब तक तुम दूसरा आधा हिस्सा नहीं पढ़ते: उस requirement को CVE-2026-48710 के माध्यम से पूरी तरह bypass किया जा सकता है, Starlette (नीचे का ASGI framework) में एक BadHost authentication bypass, जो एक authenticated-only bug को किसी भी deployment के लिए unauthenticated में बदल देता है जिसने Starlette को भी patch नहीं किया है। Fix LiteLLM v1.83.7 में आया, जो endpoints को sanitize करता है और एक authorization control जोड़ता है जो MCP test endpoints को PROXY_ADMIN role रखने वाले users तक सीमित करता है।

इसके routine CVE से ऊपर उठने का कारण यह है कि LiteLLM stack में कहाँ बैठता है। Proxy वह एकमात्र component है जो, by design, हर उस model provider के credentials रखता है जिसे तुम उसके through route करते हो: तुम्हारी OpenAI key, तुम्हारी Anthropic key, तुम्हारी cloud-inference keys, और अक्सर किसी भी अन्य चीज़ के secrets जिससे proxy wired है। उस host पर command execution इसलिए एक contained event नहीं है, यह तुम्हारे AI infrastructure में credentials के सबसे केंद्रित ढेर तक तत्काल access है, साथ ही उन सब में lateral रूप से move करने का एक foothold जिस तक वे credentials पहुँचते हैं। help-net का writeup impact chain के बारे में blunt है: arbitrary command execution, model-provider credentials और secrets की चोरी, और connected AI systems में lateral movement। और context इसे बदतर बनाता है, यह मई 2026 की एक घटना के बाद एक ही महीने में दूसरी weaponized LiteLLM vulnerability है, और BerryAI ने मार्च 2026 में malicious PyPI packages के माध्यम से एक supply-chain attack भी झेला। Gateway layer सक्रिय रूप से जांची जा रही है, और attackers ने नोटिस किया है कि keys वहीं रहती हैं।

सोमवार सुबह, अगर तुम LiteLLM self-host करते हो तो actions subtle नहीं हैं और optional नहीं हैं। पहला, आज v1.83.7 या बाद में upgrade करो, यही वह है जो वास्तव में छेद बंद करता है। दूसरा, अगर तुम तुरंत upgrade नहीं कर सकते, अंतरिम उपाय के रूप में अपने reverse proxy या load balancer पर /mcp-rest/test/connection और /mcp-rest/test/tools/list endpoints तक network access block करो। तीसरा, proxy ने जिस हर credential को छुआ है उसे rotate करो, इस assumption पर कि अगर तुम exposed थे तो तुम्हें keys को compromised मानना चाहिए, provider keys, connector secrets, proxy के environment में कुछ भी। चौथा, proxy के network exposure को trusted segments तक restrict करो बजाय admin और test surfaces को open internet से पहुँच योग्य छोड़ने के, जो वह configuration है जो इसे एक बुरे दिन से एक breach में बदल देती है। और Starlette को भी patch करो, क्योंकि CVE-2026-48710 वह है जो API-key prerequisite हटाता है, और एक defense जो attacker के पास bypass न होने पर निर्भर करती है वह defense नहीं है। अगर तुम व्यापक agent-security thread को track करते हो, यह उस चेतावनी का concrete version है जो research में बनती रही है, gateway और runtime layers जितने ज़्यादा critical infrastructure बनते हैं, उतने ज़्यादा वे target बनते हैं, और LLM proxy अब प्रदर्शनीय रूप से front line पर है।