LiteLLM高風險已知漏洞可與另一個漏洞串連，形成CVSS風險10分的漏洞利用鏈

上週威脅情報公司Horizon3.ai指出，攻擊者利用CVE-2026-42271的基本條件，就是通過身分驗證，然而他們發現，若是搭配存在於Python非同步（ASGI）框架Starlette的中度風險漏洞CVE-2026-48710，就有可能在依賴自架Gitea的開發環境裡，形成CVSS風險10分滿分的重大弱點，完全繞過LiteLLM的身分驗證請求，從而導致遠端穗式碼執行，讓攻擊者以LiteLLM代理程式執行指令，呼籲用戶應儘速更新LiteLLM與Starlette因應。

雖然Starlette並非架設LiteLLM的必要元件，但由於LiteLLM提供代理伺服器模式，再加上指引文件經常以FastAPI範例，FastAPI就是以Starlette和Pydanic開發而成，因此，不少LiteLLM用戶選擇採用Starlette設置代理伺服器或API閘道，使得Horizon3.ai提出的漏洞利用環境很可能出現在實際的LiteLLM平臺。