أضافت وكالة الأمن السيبراني والبنية التحتية الأميركية (CISA) ثغرة خطيرة في مشروع LiteLLM مفتوح المصدر إلى قائمة الثغرات المستغلة فعليًا (KEV) بعد رصد أدلة على هجمات نشطة. الثغرة المسجلة تحت الرمز CVE-2026-42271 وبدرجة خطورة 8.7 وفق مقياس CVSS، هي ثغرة حقن أوامر (Command Injection) تسمح لأي مستخدم مصادق بتنفيذ أوامر عشوائية على المضيف.
تؤثر الثغرة على إصدارات الحزمة بين 1.74.2 وحتى ما قبل 1.83.7، حيث كانت نقطتا النهاية POST /mcp-rest/test/connection وPOST /mcp-rest/test/tools/list تقبلان تكوينًا كاملاً للخادم بما في ذلك الحقول الخاصة بالأوامر والمتغيرات البيئية، ليتم تشغيلها كعملية فرعية على المضيف.
سلسلة الاستغلال مع Starlette
الأخطر أن باحثي Horizon3.ai تمكنوا من ربط هذه الثغرة مع ثغرة أخرى في إطار العمل Starlette تحمل الرمز CVE-2026-48710 بدرجة خطورة 6.5، وهي ثغرة تتعلق بالتحقق من ترويسة المضيف (BadHost Validation Bypass). هذا الربط سمح بتجاوز آلية المصادقة بالكامل في نشرات LiteLLM التي تعتمد على إصدارات Starlette ≤ 1.0.0، ما يحول الثغرة إلى تنفيذ أوامر عن بُعد غير مصادق (Unauthenticated RCE).
وفقًا لـ Horizon3.ai، فإن السلسلة المترابطة بين الثغرتين تصل إلى درجة خطورة 10.0، ما يجعلها حرجة للغاية، حيث يمكن للمهاجمين تشغيل أوامر على المضيف، وسرقة مفاتيح واجهات برمجة التطبيقات، والتحرك جانبيًا داخل البنية التحتية للذكاء الاصطناعي، بل وحتى اختراق الأنظمة المتصلة بالبوابة.
تداعيات أمنية واسعة
نجاح استغلال هذه السلسلة يعني أن المهاجم قادر على الوصول إلى بيانات اعتماد مقدمي النماذج، وسحب الأسرار المخزنة في الوكيل، والتحكم في البنية التحتية المرتبطة. هذا يفتح الباب أمام هجمات متقدمة تستهدف بيئات الذكاء الاصطناعي، حيث يمكن للمهاجمين استغلال الثغرة للانتقال إلى أنظمة أخرى أو تعطيل خدمات حيوية.
حتى الآن، لا توجد معلومات مؤكدة حول هوية الجهات المهاجمة أو نطاق الاستهداف أو مدى نجاح الهجمات، لكن وجود الثغرة في قائمة KEV يؤكد أن الاستغلال ليس مجرد احتمال نظري بل واقع قائم.
الإصلاحات والتوصيات
قام مطورو LiteLLM بإصدار نسخة 1.83.7 التي عالجت الثغرة عبر تقييد نقاط النهاية لتتطلب دور PROXY_ADMIN، بما يتماشى مع نقطة النهاية الخاصة بالحفظ. كما أوصت Horizon3.ai بترقية Starlette إلى الإصدار 1.0.1 أو أحدث.
في حال تعذر التحديث الفوري، يُنصح باتباع إجراءات تخفيفية مثل:
- حجب نقاط النهاية POST /mcp-rest/test/connection وPOST /mcp-rest/test/tools/list عبر الوكيل العكسي أو بوابة API.
- تقييد الوصول الشبكي إلى القطاعات الموثوقة فقط.
- تدوير بيانات الاعتماد المخزنة في الوكيل.
- مراجعة السجلات لرصد أي نشاط غير اعتيادي في ترويسات المضيف أو عمليات التنفيذ الفرعية.
