LiteLLM, Proxy AI Populer, Punya Celah Injeksi Perintah yang Sedang Aktif Dieksploitasi

CLB.my.id - CISA, badan keamanan siber Amerika Serikat, secara resmi menambahkan CVE-2026-42271 ke dalam katalog Known Exploited Vulnerabilities pada 8 Juni 2026. Celah ini menargetkan LiteLLM, sebuah gateway dan proxy server AI open-source yang sangat populer di kalangan developer dan perusahaan untuk mengakses berbagai model bahasa besar dari satu titik tunggal. Yang membuat situasi ini serius adalah bukti bahwa celah tersebut sedang aktif dieksploitasi di dunia nyata.

LiteLLM berfungsi sebagai perantara antara aplikasi pengguna dan berbagai penyedia model AI seperti OpenAI, Anthropic, Google, dan lainnya. Dengan satu API terpadu, developer bisa mengarahkan permintaan ke model yang berbeda tanpa harus menulis integrasi ulang untuk setiap penyedia. Popularitasnya menjadikannya komponen kritis di banyak pipeline AI enterprise.

Celah CVE-2026-42271 diberi skor CVSS 8.8 dan mempengaruhi LiteLLM versi 1.74.2 hingga 1.83.6. Masalahnya terletak pada dua endpoint preview MCP server: POST /mcp-rest/test/connection dan POST /mcp-rest/test/tools/list. Kedua endpoint ini menerima konfigurasi server lengkap yang mencakup field command, args, dan env untuk transport stdio. Saat dipanggil, endpoint tersebut menjalankan perintah yang diberikan sebagai subprocess dengan hak akses proxy.

Siapa Pun yang Punya Akun Bisa Menjalankan Perintah Apa Saja

Implikasinya sangat mengkhawatirkan. Setiap pengguna terautentikasi, termasuk pemegang kunci internal-user dengan hak akses rendah sekalipun, bisa menjalankan perintah arbitrer di host tempat LiteLLM berjalan. Tidak perlu hak akses admin. Tidak perlu akses fisik. Cukup dengan akun LiteLLM biasa dan permintaan HTTP yang dibuat khusus.

Ini berarti dalam skenario di mana sebuah perusahaan menjalankan LiteLLM sebagai shared AI gateway untuk tim developer, satu akun developer yang kompromised atau bahkan satu akun dengan hak akses minimal sudah cukup untuk mengambil alih seluruh server. Penyerang bisa membaca file konfigurasi, mengakses kredensial API yang tersimpan, atau bahkan memasang backdoor permanen.

GitHub, yang melaporkan celah ini melalui GitHub Security Advisory GHSA-v4p8-mg3p-g94g, sudah merilis patch di versi 1.83.7. CISA memberikan tenggat waktu 22 Juni 2026 bagi semua organisasi federal Amerika Serikat untuk menerapkan mitigasi sesuai arahan vendor. Bagi organisasi non-federal, CISA tetap sangat merekomendasikan pembaruan segera mengingat adanya bukti eksploitasi aktif.

Celah Kedua: Check Point Security Gateway

Dalam pengumuman yang sama, CISA juga menambahkan CVE-2026-50751 yang menargetkan Check Point Security Gateway dengan celah improper authentication. Meskipun detail teknisnya lebih terbatas, keberadaan dua celah yang baru dimasukkan ke katalog KEV dalam satu hari menunjukkan intensitas ancaman yang terus meningkat terhadap infrastruktur keamanan dan AI enterprise.

LiteLLM saat ini digunakan oleh ribuan organisasi di seluruh dunia sebagai standar de facto untuk mengelola akses ke model AI skala besar. Celah ini menjadi pengingat bahwa komponen middleware dalam stack AI, yang sering kali luput dari audit keamanan, bisa menjadi titik masuk yang sangat berbahaya. Developer yang menggunakan LiteLLM disarankan segera memperbarui ke versi 1.83.7 dan memeriksa log server untuk tanda-tanda eksploitasi yang mungkin sudah terjadi.***