Il Cybersecurity and Infrastructure Security Agency (CISA) ha inserito CVE-2026-42271 nel catalogo Known Exploited Vulnerabilities l'8 giugno 2026, confermando che la falla è attivamente sfruttata in the wild. La vulnerabilità, una command injection negli endpoint MCP preview di LiteLLM, permetteva a qualsiasi utente con una API key valida di eseguire comandi arbitrari sul proxy host. Quando concatenata con CVE-2026-48710, un bypass dell'autenticazione nella dipendenza Starlette, la catena si trasforma in esecuzione remota di codice completamente non autenticata, valutata Critical con punteggio CVSS 10.0.
- CISA ha aggiunto CVE-2026-42271 al KEV catalog l'8 giugno 2026 con due date 22 giugno per le agenzie federali
- CVE-2026-42271 interessa LiteLLM versioni 1.74.2-1.83.6 ed è classificata HIGH con CVSS 8.7 (base 4.0) o CVSS 8.8 (3.1)
- Horizon3.ai ha validato che CVE-2026-48710 bypassa l'autenticazione in deployment con Starlette ≤1.0.0, trasformando la falla in RCE non autenticato
- La patch in LiteLLM v1.83.7 aggiunge il controllo PROXY_ADMIN role sugli endpoint MCP
Come funziona l'attacco: da API key a shell sul proxy
La vulnerabilità risiede in due endpoint preview del protocollo Model Context Protocol (MCP) in LiteLLM: POST /mcp-rest/test/connection e POST /mcp-rest/test/tools/list. Secondo il record CVE ufficiale, questi endpoint accettavano una configurazione server completa per transport stdio, includendo i campi command, args ed env controllati dall'utente. Il proxy eseguiva il comando fornito come subprocess sullo stesso host, con i privilegi del processo LiteLLM.
Il meccanismo di protezione si limitava alla validazione della proxy API key, senza alcun role-based authorization check. Come riporta l'advisory GitHub tramite il record CVE.org, "any authenticated user — including holders of low-privilege internal-user keys — could therefore run arbitrary commands on the host". La mancanza di segmentazione tra chiavi interne di basso privilegio e capacità amministrative ha abbattuto il perimetro di sicurezza già a livello autenticato.
La catena che elimina l'autenticazione: Starlette BadHost
La gravità della singola CVE-2026-42271 resta contenuta dal requisito di una API key valida. La svolta arriva dalla concatenazione con CVE-2026-48710, una vulnerabilità nella libreria Starlette — dipendenza comune dell'ecosistema Python ASGI — che riguarda il bypass della validazione dell'header Host in versioni ≤ 1.0.0.
I ricercatori di Horizon3.ai, che hanno scoperto e validato la catena di exploit, dichiarano che "CVE-2026-48710 can be used to bypass the authentication mechanism entirely in LiteLLM deployments whose dependency tree includes Starlette versions ≤ 1.0.0". Il risultato è la trasformazione di una command injection autenticata in RCE non autenticato. Come annotano gli stessi ricercatori, "This transforms the vulnerability into unauthenticated remote code execution with no credentials required". La combinazione è stata valutata CVSS 10.0 Critical.
"The chained vulnerability has been assessed as CVSS 10.0 Critical" — Horizon3.ai researchers
Questo meccanismo illustra un pattern crescente nelle infrastrutture AI: tool progettati per velocità di deployment che accumulano dipendenze complesse senza che il modello di sicurezza evolva al ritmo dell'adozione. Starlette è una libreria fondamentale, non un componente marginale; il suo bypass diventa un acceleratore di impatto per vulnerabilità altrimenti "gestibili".
Cosa cambia con il KEV catalog e la deadline CISA
L'inserimento nel KEV catalog non è una formalità tecnica. CISA richiede alle agenzie federali di applicare la patch entro il 22 giugno 2026 secondo il Binding Operational Directive 22-01. La pressione regolatoria si estende al settore privato attraverso gli standard contrattuali e le supply chain che servono il governo federale.
Il catalogo KEV descrive CVE-2026-42271 come "common open-source component", sottolineando la diffusione potenziale del software interessato. LiteLLM è uno degli AI gateway più utilizzati per unificare l'accesso a provider LLM diversi (OpenAI, Anthropic, Azure, modelli self-hosted) attraverso un'interfaccia API comune. I deployment self-hosted — tipici di ambienti enterprise che gestiscono dati sensibili — eseguono il proxy con accesso a credenziali provider, secrets di rete e visibilità sul traffico AI interno.
Cosa fare adesso
Le azioni prioritarie emergono dalle fonti primarie con convergenza tra advisory CISA, record NVD e analisi Horizon3.ai:
- Aggiornare LiteLLM alla versione 1.83.7 o successiva, che impone il ruolo PROXY_ADMIN sugli endpoint MCP
- Aggiornare Starlette alla versione 1.0.1 o successiva per chiudere CVE-2026-48710
- Bloccare l'accesso agli endpoint
/mcp-rest/test/connectione/mcp-rest/test/tools/lista livello di reverse proxy se non strettamente necessari - Restringere l'accesso di rete ai proxy LiteLLM esposti, limitando la superficie di attacco anche in caso di bypass residui
Non emergono sovrapposizioni infrastrutturali che colleghino gli attacchi in the wild a threat actor specifici allo stato attuale. Il dossier non specifica se gli attacchi osservati sfruttino già la catena completa con CVE-2026-48710 o si limitino alla variante autenticata con API key rubate o di basso profilo.
La lezione del confine sottile tra convenienza e controllo
La struttura della vulnerabilità rivela una tensione progettuale ricorrente nell'infrastruttura AI contemporanea. Gli endpoint MCP preview sono funzionalità di sviluppo — "test connection", "test tools list" — esposti con privilegi esecutivi sul proxy di produzione. La separazione tra ambienti di sviluppo e produzione, tradizionale pilastro della sicurezza enterprise, viene compressa dalla logica del "deploy rapido" che permea l'ecosistema AI tooling.
L'assenza di role check sugli endpoint MCP, combinata con la dipendenza da Starlette in versione vulnerabile, crea una cascata di impatto che supera la somma delle singole parti. CVE-2026-42271 da sola è HIGH; con CVE-2026-48710 diventa Critical a punteggio massimo. Questo pattern di amplificazione supply-chain è destinato a ripetersi man mano che gli AI gateway consolidano la loro posizione di infrastruttura critica tra i dati aziendali e i provider di modelli esterni.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://thehackernews.com/2026/06/litellm-flaw-cve-2026-42271-exploited.html
- https://nvd.nist.gov/vuln/detail/CVE-2026-42271
- https://www.sentinelone.com/vulnerability-database/cve-2026-42271/
- https://horizon3.ai/attack-research/vulnerabilities/cve-2026-42271-chained-with-cve-2026-48710/
- https://windowsforum.com/threads/cisa-kev-update-exploited-cves-in-ai-litellm-and-check-point-vpn-act-now.423919/
- https://www.cve.org/CVERecord?id=CVE-2026-42271
- https://www.cisa.gov/news-events/alerts/2026/06/08/cisa-adds-two-known-exploited-vulnerabilities-catalog
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-42271