LiteLLM exposto: falha CVSS 10 rouba suas chaves de IA

Q: Como a falha funciona?

O CVE-2026-42271 , com nota CVSS 8,7, é uma falha de injeção de comandos em dois endpoints de teste do Protocolo de Contexto de Modelo (MCP): POST /mcp-rest/test/connection e POST /mcp-rest/test/tools/list . Eles existem para deixar um usuário pré-visualizar a configuração de um servidor MCP antes de salvá-la. O problema é que esses endpoints aceitam uma configuração completa no corpo da requisição — incluindo os campos command , args e env usados pelo transporte stdio. Quando chamados, eles disparam esse conteúdo como um subprocesso no host do proxy, com todos os privilégios do processo, sem nenhuma validação ou isolamento. Qualquer usuário autenticado, até com uma chave interna de baixo privilégio, consegue executar comandos arbitrários. As versões afetadas vão da 1.74.2 à 1.83.6 , segundo o The Hacker News.

O gateway de inteligência artificial LiteLLM, usado por empresas para centralizar o acesso a modelos como o da OpenAI e da Anthropic, está sob ataque ativo. Uma falha de injeção de comandos combinada com um desvio de autenticação resulta em execução remota de código sem senha, com nota CVSS 10. O prazo final da CISA para correção vence exatamente hoje, 22 de junho de 2026.

O problema não é teórico. A agência norte-americana de cibersegurança adicionou o CVE-2026-42271 ao seu catálogo de vulnerabilidades em exploração conhecida no dia 8 de junho, depois de registrar ataques reais. Cada instância comprometida pode expor todas as chaves de API conectadas de uma só vez — dinheiro direto para quem invade.

O que é o LiteLLM

O LiteLLM é um proxy de código aberto que coloca as APIs dos grandes provedores de IA — OpenAI, Anthropic, Mistral, Google e dezenas de outros — num formato único compatível com o da OpenAI. Ele roteia requisições, gerencia chaves, aplica limites de uso e centraliza a cobrança. Em termos da CybelAngel, o componente virou um dos pontos mais sensíveis da infraestrutura moderna de IA.

Essa posição central faz dele um agregador de credenciais. Uma única instância comprometida entrega ao invasor as chaves de todos os provedores de modelo conectados ao mesmo tempo, além de um caminho de movimentação lateral para os sistemas que dependem do gateway. É por isso que times de segurança ainda não inventariaram com o mesmo rigor que aplicam a servidores tradicionais, e é exatamente essa lacuna que os atacantes exploram.

Como a falha funciona

O CVE-2026-42271, com nota CVSS 8,7, é uma falha de injeção de comandos em dois endpoints de teste do Protocolo de Contexto de Modelo (MCP): POST /mcp-rest/test/connection e POST /mcp-rest/test/tools/list. Eles existem para deixar um usuário pré-visualizar a configuração de um servidor MCP antes de salvá-la.

O problema é que esses endpoints aceitam uma configuração completa no corpo da requisição — incluindo os campos command, args e env usados pelo transporte stdio. Quando chamados, eles disparam esse conteúdo como um subprocesso no host do proxy, com todos os privilégios do processo, sem nenhuma validação ou isolamento. Qualquer usuário autenticado, até com uma chave interna de baixo privilégio, consegue executar comandos arbitrários. As versões afetadas vão da 1.74.2 à 1.83.6, segundo o The Hacker News.

O ataque que ignora qualquer senha

Sozinha, a falha já exige apenas uma chave de API válida. Mas pesquisadores da Horizon3.ai mostraram que dá para encadear tudo com um segundo defeito e eliminar a autenticação por completo. O CVE-2026-48710, nota CVSS 6,5, é um desvio de validação do cabeçalho Host no framework Starlette — a base assíncrona que o LiteLLM usa por baixo dos panos.

Versões do Starlette até a 1.0.0 não validam o cabeçalho Host corretamente, o que permite driblar a camada de autenticação do LiteLLM sem nenhuma credencial. Juntos, os dois CVEs produzem um caminho de ataque com nota CVSS 10,0: execução remota de código sem login, sem chave e sem qualquer acesso prévio ao ambiente. É o mesmo nível de risco de outros casos recentes de RCE sem senha com CVSS 10 que assolaram o mercado em junho.

O que o invasor leva consigo

Quem consegue explorar a cadeia obtém execução de código como o processo do proxy LiteLLM. A partir daí, os danos extrapolam o próprio servidor. O invasor pode rodar comandos arbitrários no host, acessar credenciais de provedores de modelo em todos os serviços de IA conectados, extrair chaves e segredos guardados pelo proxy e se mover lateralmente para a infraestrutura de IA associada.

O pior é a consequência financeira direta. Chaves de API de IA são pagas por uso, então um invasor pode tanto roubar saldo quanto abrir portas para comprometer sistemas downstream integrados ao gateway. Em ambientes brasileiros onde a fatura de IA já pesa no orçamento de TI, um vazamento desses gera prejuízo mensurável em horas — para não falar do impacto regulatório sob a LGPD quando há dados pessoais em jogo.

A ligação com o ransomware Qilin

O catálogo da CISA vincula o CVE-2026-42271 ao grupo de ransomware Qilin. Isso enquadra um padrão conhecido. A Qilin opera como uma plataforma madura de ransomware como serviço que, segundo a CybelAngel, reivindicou mais de mil vítimas só em 2025, colocando-a entre os grupos mais ativos do mercado.

Mirar um gateway de IA encaixa direto na estratégia do grupo: entrega acesso imediato a chaves de API faturáveis e um caminho de movimentação lateral pela rede, sem precisar comprometer uma conta de usuário primeiro. A Check Point também ligou a Qilin a ataques ativos com zero-day em VPN, o que reforça o histórico do grupo de expandir métodos de acesso inicial — tema já tratado aqui no caso do ransomware Qilin explorando zero-day na VPN da Check Point.

Como corrigir agora mesmo

A correção endereça os dois componentes da cadeia e é simples de aplicar — mas exige as duas partes. Atualize imediatamente para o LiteLLM 1.83.7 ou superior e para o Starlette 1.0.1 ou superior. Os dois endpoints de teste passaram a exigir o papel PROXY_ADMIN, alinhando-se ao endpoint de salvamento.

Se a atualização não for possível de imediato, bloqueie os dois endpoints /mcp-rest/test/ no proxy reverso ou no API gateway, restrinja o acesso de rede a segmentos confiáveis e rotacione todas as credenciais guardadas pelo proxy. Revise logs em busca de processos filhos estranhos gerados pelo processo do LiteLLM (shells como sh ou bash, interpretadores como python ou node, ferramentas de rede como curl, wget ou nc) e de conexões de saída para destinos não confiáveis.

Um padrão que preocupa

Este não é o primeiro caso sério no LiteLLM em 2026. Há pouco mais de um mês, uma falha crítica de injeção SQL, o CVE-2026-42208 com nota CVSS 9,3, entrou em exploração ativa em apenas 36 horas após a divulgação pública, segundo o The Hacker News. A recorrência sinaliza que a superfície de ataque da infraestrutura de IA ainda está sendo descoberta — e os criminosos se movem mais rápido que os patches.

A lição é estrutural. Proxies de IA, servidores MCP e gateways de modelo são sistemas de produção que guardam credenciais sensíveis, mas a maioria dos times ainda não os inventariou com o mesmo rigor dos servidores tradicionais. À medida que empresas brasileiras aceleram a adoção de IA autônoma — inclusive com ferramentas como o worm de IA auto-replicante que infectou 62% da rede sozinho já demonstrou — esse descuido vira a porta de entrada preferida dos grupos de ransomware.