CISA adicionou CVE-2026-42271 ao seu catálogo Known Exploited Vulnerabilities em 8 de junho de 2026, confirmando exploração ativa na natureza e dando às agências civis federais até 22 de junho para remediar. A vulnerabilidade é uma falha de injeção de comando no LiteLLM, o projeto open-source da BerryAI que dá às equipes uma única interface formato-OpenAI na frente de dezenas de model providers, implantado seja como Python SDK ou, mais relevante aqui, como gateway AI e proxy standalone que gerencia API keys, tracking de custo e routing de tráfego. Se você roda um LLM proxy em produção, há uma chance significativa de que seja LiteLLM, e é exatamente por isso que este importa mais do que sua linha CVSS sozinha sugeriria.
O mecanismo é específico e vale a pena entender. Dois endpoints, POST /mcp-rest/test/connection e POST /mcp-rest/test/tools/list, aceitavam configurações de servidor completas e então spawnavam os comandos fornecidos como subprocesses rodando com os privilégios do processo proxy ele mesmo, sem sanitização própria do input. Isso é injeção de comando textbook: o input que deveria descrever um servidor MCP para testar se torna em vez disso um comando que o host executa. O acesso inicial requer nominalmente uma valid proxy API key, o que soa como uma barreira significativa até você ler a segunda metade: esse requirement pode ser bypassado inteiramente via CVE-2026-48710, um BadHost authentication bypass no Starlette (o framework ASGI embaixo), que converte um bug authenticated-only em um unauthenticated para qualquer deployment que não tenha também feito patch no Starlette. O fix aterrissou no LiteLLM v1.83.7, que tanto sanitiza os endpoints quanto adiciona um controle de autorização restringindo os MCP test endpoints aos users com o role PROXY_ADMIN.
A razão pela qual isso se eleva acima de um CVE rotineiro é onde LiteLLM sit no stack. O proxy é o único component que, by design, guarda os credentials para cada model provider que você roteia através: sua key OpenAI, sua key Anthropic, suas keys de cloud-inference, e frequentemente os secrets para qualquer outra coisa à qual o proxy esteja wired. A execução de comando nesse host portanto não é um evento contido, é um acesso imediato ao monte de credentials mais concentrado na sua infraestrutura AI, mais um foothold para se mover lateralmente em tudo que esses credentials alcançam. O writeup help-net é blunt sobre a cadeia de impacto: execução de comando arbitrária, roubo de credentials e secrets de model-provider, e movimento lateral em sistemas AI conectados. E o contexto o torna pior, esta é a segunda vulnerabilidade LiteLLM weaponizada em um único mês após um incidente de maio 2026, e BerryAI também sofreu um ataque supply-chain de março 2026 via pacotes PyPI maliciosos. A camada gateway está sendo ativamente sondada, e os atacantes notaram que é onde as keys vivem.
Segunda-feira pela manhã, as ações não são sutis e não são opcionais se você self-hospeda LiteLLM. Primeiro, upgrade para v1.83.7 ou posterior hoje, este é o que realmente fecha o buraco. Segundo, se você não pode upgrade imediatamente, bloqueie o acesso de rede aos endpoints /mcp-rest/test/connection e /mcp-rest/test/tools/list no seu reverse proxy ou load balancer como medida interina. Terceiro, rotacione cada credential que o proxy tenha tocado, sob a assunção de que se você foi exposto deveria tratar as keys como comprometidas, provider keys, connector secrets, qualquer coisa no environment do proxy. Quarto, restrinja a exposição de rede do proxy a segmentos confiáveis em vez de deixar as superfícies admin e test alcançáveis a partir da internet aberta, que é a configuração que transforma isso de um dia ruim em um breach. E faça patch no Starlette também, porque CVE-2026-48710 é o que remove o pré-requisito API-key, e uma defesa que depende do atacante não ter o bypass não é uma defesa. Se você tracka o fio mais amplo de agent-security, esta é a versão concreta do aviso que vem se construindo na research, quanto mais as camadas gateway e runtime se tornam infraestrutura crítica, mais se tornam o alvo, e o LLM proxy está agora demonstravelmente na linha de frente.
