Cadeia crítica no LiteLLM permite escalação de privilégios, execução remota e roubo de credenciais de IA

A cadeia LiteLLM não é um caso isolado, é o quarto incidente crítico em três meses, e o segundo com CVSS ≥9.9. O que torna essa falha particularmente perigosa é sua posição estrutural: o proxy opera como um chokepoint de dados sensíveis, mas também como um ponto de manipulação ativa. Diferente de uma simples vazão, ela permite injeção silenciosa em tempo real nas respostas dos agentes via callbacks ocultos, um vetor que já foi usado para transformar um comando hello em um reverse shell no terminal do desenvolvedor. Isso não é prompt injection. É controle de fluxo de decisão de IA.

O fato de a CVE-2026-42271 (MCP stdio) ter sido adicionada ao KEV da CISA em 8 de junho, e encadeada com a CVE-2026-48710 do Starlette, base do LiteLLM, mostra que o risco se estende além do próprio código. A dependência em frameworks subjacentes, como o Starlette ASGI, agora é um alvo explícito: uma derivação de autenticação nesse layer (CVSS 6.5) eleva a cadeia total para CVSS 10.0. E isso conecta diretamente à cobertura CEVIU de 30 de maio sobre vulnerabilidades críticas na implementação Startlette ASGI, o mesmo componente que sustenta centenas de gateways de IA em produção.

Em abril, a CEVIU já alertava sobre falhas em servidores MCP sem segurança nativa, mas agora temos a prova concreta de que o LiteLLM, um dos principais gateways usados nesses ambientes, implementa MCP de forma insegura por padrão. A CVE-2026-42271 não foi corrigida na v1.83.14-stable; ela exigiu atualização separada para v1.83.7 (8 de maio) e depende ainda do Starlette v1.0.1. Ou seja: atualizar só para v1.83.14 resolve a cadeia principal, mas deixa aberta uma segunda porta de execução remota não autenticada. Também mudou o cenário de exploração: em março foi supply chain, em abril foi SQLi explorada em menos de 36h, agora é uma cadeia multi-camada com demonstração prática de comprometimento de agentes downstream via callback hook, algo nunca antes documentado publicamente no LiteLLM.

Empresas que usam LiteLLM como gateway para agentes de IA não estão apenas expostas a vazamentos. Estão rodando um sistema onde qualquer usuário interno com acesso básico pode reescrever o comportamento de todos os agentes em tempo real, incluindo aqueles com acesso a bancos de dados, ferramentas de CI/CD ou APIs de produção. A rotação de chaves de provedores é necessária, mas insuficiente: se o atacante já obteve a chave mestra e a salt key, ele pode descriptografar todas as credenciais armazenadas historicamente. E, pior, pode implantar callbacks persistentes que sobrevivem à atualização, porque eles são carregados de arquivos de configuração, não do código-fonte.