زنجیره حمله در آسیب‌پذیری LiteLLM به اجرای کد از راه دور بدون احراز هویت انجامید

آسیب‌پذیری LiteLLM با شناسه CVE-2026-42271 پس از شواهدی از اکسپلویت فعال، توسط آژانس امنیت سایبری و امنیت زیرساخت آمریکا (CISA) به فهرست آسیب‌پذیری‌های دارای اکسپلویت شناخته‌شده (KEV) اضافه شد. بررسی‌ها نشان می‌دهد آسیب‌پذیری LiteLLM در صورت اکسپلویت موفق می‌تواند امکان اجرای دستورات دلخواه روی سرورهای آسیب‌پذیر را فراهم کند و در صورت زنجیره‌سازی با یک ضعف امنیتی دیگر در Starlette، منجر به اجرای کد از راه دور (RCE) بدون نیاز به احراز هویت شود.

جزئیات فنی آسیب‌پذیری LiteLLM و دامنه اثر

آسیب‌پذیری LiteLLM با شناسه CVE-2026-42271 و امتیاز 8.7 در CVSS ثبت شده و از نوع تزریق دستور (Command Injection) است که می‌تواند به هر کاربر احراز هویت‌شده اجازه دهد دستورات دلخواه خود را روی میزبان اجرا کند.

این ضعف ‌امنیتی نسخه‌های زیر از پکیج پایتونی LiteLLM را تحت تأثیر قرار می‌دهد:

• نسخه‌های 1.74.2 و بالاتر
• نسخه‌های پیش از 1.83.7

طبق توضیحات BerriAI، این ضعف به دو endpoint مربوط می‌شود که برای پیش‌نمایش سرور MCP (Model Context Protocol) پیش از ذخیره‌سازی طراحی شده‌اند. این endpointها پیکربندی کامل سرور را از بدنه درخواست دریافت می‌کنند؛ پیکربندی‌ای که شامل فیلدهایی مانند command، args و env است و در مکانیزم انتقال مبتنی بر ورودی/خروجی استاندارد (stdio transport) استفاده می‌شود:

• POST /mcp-rest/test/connection
• POST /mcp-rest/test/tools/list

به گفته BerriAI، زمانی که این endpointها با پیکربندی stdio فراخوانی می‌شدند، ابتدا فرآیند برقراری اتصال آغاز می‌شد و در نتیجه، دستور ارسال‌شده به‌صورت یک زیرپردازه (subprocess) روی میزبان پروکسی و با سطح دسترسی همان پردازه پروکسی (proxy process) اجرا می‌شد.

نقش احراز هویت و ضعف کنترل دسترسی

توسعه‌دهندگان گیت‌وی متن‌باز هوش مصنوعی و کیت توسعه پایتون (Python SDK) اعلام کرده‌اند که endpointهای آسیب‌پذیر تنها از طریق یک کلید معتبر API پروکسی محافظت می‌شدند. در نتیجه، هر کاربر احراز هویت‌شده حتی کاربر داخلی با کلیدهای دارای سطح دسترسی بالا می‌توانست دستورات دلخواه خود را روی سیستم آسیب‌پذیر اجرا کند.

این آسیب‌پذیری در نسخه 1.83.7 پچ شده است. در این نسخه، دسترسی به هر دو endpoint تنها به کاربرانی با نقش PROXY_ADMIN محدود شده است؛ تغییری که باعث می‌شود سطح کنترل دسترسی آن‌ها با endpoint ذخیره‌سازی یکسان باشد.

در نسخه‌های پیشین، این مدل کنترل دسترسی باعث می‌شد امنیت endpointها عملاً به وجود یک کلید معتبر وابسته باشد. همین مسئله امکان سوءاستفاده از آسیب‌پذیری LiteLLM را برای کاربران دارای دسترسی مجاز فراهم می‌کرد و ریسک اجرای دستورهای غیرمجاز روی زیرساخت را افزایش می‌داد.

زنجیره‌سازی اکسپلویت با Starlette

شرکت Horizon3.ai هفته گذشته اعلام کرد که آسیب‌پذیری CVE-2026-42271 را با CVE-2026-48710 زنجیره‌سازی کرده است. CVE-2026-48710 با امتیاز CVSS 6.5، به ضعفی در مکانیزم اعتبارسنجی هدر میزبان (Host Header) در فریم‌ورک Starlette مربوط می‌شود. Starlette یک فریم‌ورک سبک مبتنی بر رابط گیت‌وی سرور ناهمگام (ASGI) است. این ضعف امنیتی که با نام BadHost شناخته می‌شود، امکان دور زدن اعتبارسنجی هدر میزبان را فراهم می‌کند.

به گفته Horizon3.ai، در استقرارهایی از LiteLLM که زنجیره وابستگی آن‌ها شامل Starlette نسخه 1.0.0 یا پایین‌تر باشد، این ضعف می‌تواند مکانیزم احراز هویت را به‌طور کامل دور بزند.

در چنین شرایطی، آسیب‌پذیری LiteLLM که در حالت عادی تنها توسط کاربر احراز هویت‌شده قابل سوءاستفاده بود، به اجرای کد از راه دور بدون احراز هویت (Unauthenticated RCE) تبدیل می‌شود. در نتیجه، مهاجم می‌تواند بدون نیاز به هیچ اعتبارنامه‌ای، کد دلخواه خود را روی سیستم هدف اجرا کند.

پیامدهای امنیتی سوءاستفاده از زنجیره آسیب‌پذیری LiteLLM  برای زیرساخت‌های هوش مصنوعی

سوءاستفاده موفق از این زنجیره می‌تواند پیامدهای جدی برای سازمان‌هایی داشته باشد که از LiteLLM در زیرساخت‌های هوش مصنوعی خود استفاده می‌کنند. در چنین سناریویی، مهاجم قادر خواهد بود دستورات دلخواه را روی میزبان LiteLLM اجرا کند، به اعتبارنامه‌های ارائه‌دهندگان مدل دسترسی پیدا کند، کلیدهای API و اطلاعات ذخیره‌شده در پروکسی را استخراج کند، در زیرساخت‌های متصل به هوش مصنوعی حرکت جانبی (Lateral Movement) انجام دهد و حتی سیستم‌های وابسته (downstream) به این گیت‌وی را نیز در معرض نفوذ قرار دهد.

بر اساس ارزیابی Horizon3.ai، امتیاز ترکیبی این زنجیره اکسپلویت 10.0 در CVSS است که نشان‌دهنده ماهیت بحرانی آن است؛ موضوعی که پچ فوری آسیب‌پذیری LiteLLM را به یک اولویت امنیتی تبدیل می‌کند.

ابهام درباره دامنه حملات و عاملان تهدید

در حال حاضر جزئیاتی درباره شیوه اکسپلویت CVE-2026-42271 منتشر نشده است. همچنین مشخص نیست عاملان تهدید پشت این فعالیت‌ها چه کسانی هستند، چه اهدافی را دنبال می‌کنند، دامنه حملات تا چه اندازه گسترده است و آیا این حملات تاکنون منجر به نفوذ موفق در سیستم‌های آسیب‌پذیر شده‌اند یا خیر.

از سوی دیگر، هنوز روشن نیست که فعالیت‌های مشاهده‌شده در دنیای واقعی از زنجیره کامل اکسپلویت شامل Starlette استفاده می‌کنند یا صرفاً خود CVE-2026-42271 را هدف قرار داده‌اند. با این حال، اضافه شدن آسیب‌پذیری LiteLLM به فهرست KEV نشان می‌دهد سازمان‌ها باید ارزیابی و رفع این آسیب‌پذیری را در اولویت برنامه مدیریت ریسک خود قرار دهند.

توصیه‌های امنیتی و اقدامات کاهش ریسک

به کاربران توصیه می‌شود LiteLLM را به نسخه 1.83.7 یا بالاتر و Starlette را به نسخه 1.0.1 یا بالاتر به‌روزرسانی کنند. در صورت عدم امکان به‌روزرسانی فوری، اقدامات زیر توصیه می‌شود:

• مسدودسازی endpointهای POST /mcp-rest/test/connection و POST /mcp-rest/test/tools/list در سطح پروکسی معکوس (Reverse Proxy) یا گیت‌وی API
• محدود کردن دسترسی شبکه به بخش‌های (segments) مورد اعتماد
• تغییر و جایگزینی اعتبارنامه‌های ذخیره‌شده در پروکسی
• بررسی لاگ‌ها برای شناسایی فعالیت‌های غیرعادی مرتبط با هدر میزبان و رخدادهای اجرای زیرپردازه

جمع‌بندی

این خبر در حالی منتشر شده که بیش از یک ماه پیش، یک آسیب‌پذیری بحرانی از نوع تزریق SQL (SQL Injection) در LiteLLM، با شناسه CVE-2026-42208 و امتیاز CVSS 9.3، تنها ظرف 36 ساعت پس از افشای عمومی وارد فاز اکسپلویت فعال شد. تکرار این الگو نشان می‌دهد زیرساخت‌های هوش مصنوعی، به‌ویژه گیت‌وی‌ها و پروکسی‌های مدل، به سطح حمله‌ای جذاب و پرریسک برای مهاجمان تبدیل شده‌اند. از این رو، ارزیابی، پچ و اجرای اقدامات کاهش ریسک آسیب‌پذیری LiteLLM باید در اولویت برنامه‌های پاسخ‌گویی به رخداد و مدیریت ریسک سازمان‌ها قرار گیرد.

منابع