В LiteLLM обнаружена критическая уязвимость CVE-2026-42271, позволяющая удаленно выполнять команды без аутентификации. Новость распространяется как лесной пожар, но стоит отделить шум от фактов: это не глобальная катастрофа, а предупреждение для тех, кто оставляет свои системы без обновлений. Обычный пользователь даже не знает, что такое LiteLLM, и его цифровая жизнь остается прежней.
Настоящая проблема не в коде, а в лени администратора 🛡️
Уязвимость использует отсутствие проверки при вызовах API LiteLLM, позволяя внедрять команды в базовую систему. Исследователь, сообщивший о ней, стремился к известности, обнародовав информацию до выхода патча. Наблюдаемые атаки направлены на майнинг криптовалют на открытых серверах, а не на кражу личных данных. Те, у кого LiteLLM находится за брандмауэром или в изолированной среде, в безопасности. Патч уже доступен, но многие не установят его из-за халатности.
Компании по безопасности продают дым, а администратор — несбыточные мечты 💸
Фирмы по кибербезопасности устроили медийный цирк вокруг этого CVE, изображая его как конец цифрового мира. Реальность более прозаична: ошибка в инструменте с открытым исходным кодом, затрагивающая мелких разработчиков, а не банки или правительства. Пока они продают дорогие брандмауэры, злоумышленники довольствуются майнингом монет на забытых серверах. Самая большая угроза — не код, а лень того, кто не нажимает обновить.