INFRASTRUCTURE
(18)18 hack(s).
SSRF en vLLM: cuando el parche de la allowlist repitió el mismo fallo de parseo
Dos avisos de vLLM muestran el mismo fallo dos veces: una allowlist de hosts validada con un parser de URL y la petición enviada con otro. El parche cambió de parsers y reabrió el bypass.
RAGFlow CVE-2026-45312: una plantilla de prompt que ejecuta comandos del sistema
Una inyección de plantilla Jinja2 en el generador de prompts de RAGFlow convierte un campo controlado por el usuario en RCE del lado del servidor. CVSS 9.9, divulgada el 9 de mayo de 2026.
Path traversal en LangChain Core: load_prompt lee archivos arbitrarios
CVE-2026-34070 permite que una configuración de prompt manipulada recorra el sistema de archivos vía load_prompt y exponga secretos .txt/.json/.yaml. Divulgada el 27 de marzo de 2026, corregida en langchain-core 1.2.22.
La capa de servicio es la superficie de ataque: fallos de concurrencia en vLLM y SGLang
Un fuzzer de mayo de 2026, GRIEF, trata trazas de peticiones concurrentes como entradas y halla 15 fallos (2 CVE) en vLLM y SGLang: contaminación de salida entre peticiones, denegación de servicio por «vecino ruidoso» y caídas diferidas, sin entradas malformadas.
LiteLLM CVE-2026-49468: una elusión de autenticación por cabecera Host en el enrutado del gateway
Divulgada el 17 de junio de 2026, CVE-2026-49468 permite que una cabecera Host manipulada desincronice la ruta de autenticación de LiteLLM de la que ejecuta FastAPI — una recaída de BadHost a nivel de aplicación, corregida en LiteLLM 1.84.0.
LiteLLM CVE-2026-47101→40217: de usuario sin privilegios a admin y RCE
Obsidian Security divulgó (junio de 2026) una cadena de tres fallos en LiteLLM que lleva a un usuario de bajos privilegios a proxy_admin y a la ejecución de código: una toma de control CVSS 9.9 de la pasarela de IA.
Langflow CVE-2026-5027: escritura de archivos sin autenticación a RCE, ya explotada
Un path traversal en el endpoint /api/v2/files de Langflow permite que una petición sin autenticación escriba archivos en cualquier parte del disco. VulnCheck confirmó explotación activa el 9 de junio de 2026; ~7.000 instancias están expuestas.
Los servidores MCP expuestos, trampolines hacia el secuestro del cloud
Una inyección de comandos en servidores MCP cloud (CVE-2026-5058/5059) permite alcanzar el servicio de metadatos, robar el rol IAM y pivotar hacia toda la cuenta cloud.
La entrada multimodal como superficie de ataque: la RCE del decodificador de vídeo de vLLM (CVE-2026-22778)
CVE-2026-22778 convierte una URL de vídeo maliciosa en ejecución remota de código en servidores vLLM, encadenando una fuga de información de PIL con un desbordamiento de montículo en el decodificador JPEG2000 de FFmpeg. Corregido en 0.14.1.
ChromaToast: una RCE pre-autenticación en la base vectorial ChromaDB
La divulgación de HiddenLayer del 18 de mayo de 2026 (CVE-2026-45829, CVSS 10.0) muestra que el servidor Python de ChromaDB carga el modelo HuggingFace del atacante y ejecuta su código antes de comprobar la autenticación.
LiteLLM CVE-2026-42271: los endpoints de prueba MCP encadenan hacia RCE no autenticada
Divulgada en abril como una inyección de comandos autenticada, la función de vista previa MCP de LiteLLM se convierte en RCE no autenticada al encadenarla con el bypass BadHost de Starlette — añadida al KEV de CISA el 8 de junio de 2026.
El endpoint de build público de Langflow: RCE sin autenticar, armado en 20 horas
CVE-2026-33017 convierte el endpoint de build público de Langflow en ejecución remota de código sin autenticación. Divulgada el 17 de marzo de 2026, fue explotada in the wild en 20 horas, antes de que existiera ningún PoC público.
El broker ZMQ de SGLang: RCE no autenticada por deserialización de pickle
Tres CVE divulgadas el 12 de marzo de 2026 convierten las llamadas pickle.loads() de SGLang en ejecución remota de código sin autenticación. El parche llegó en la v0.5.10, pero la verdadera lección es que pickle sobre un socket de red es RCE por diseño.
LightLLM CVE-2026-26220: pickle en un WebSocket que el servidor obliga a exponer en red
CVE-2026-26220 (divulgada el 15 de febrero de 2026) coloca pickle.loads() en dos endpoints WebSocket sin autenticar del modo prefill-decode de LightLLM — y el servidor se niega a enlazar a localhost, así que la superficie es siempre remota.
MCPwn (CVE-2026-33032): un endpoint MCP de nginx-ui entrega el servidor web
Un endpoint MCP sin autenticación en nginx-ui ≤ 2.3.3 permite que cualquier atacante de red reescriba configuraciones de nginx y reinicie el servicio. CVSS 9.8, divulgación pública el 15 de abril de 2026, explotación en entorno real horas después del parche.
BadHost (CVE-2026-48710): un solo carácter en el encabezado Host elude la autenticación en Starlette, vLLM y FastMCP
X41 D-Sec divulgó el 22 de mayo de 2026 un bypass de autorización crítico en Starlette < 1.0.1. Un único / ? o # en el encabezado HTTP Host desincroniza la ruta enrutada respecto a la ruta que ve el middleware, rompiendo la autorización basada en path en vLLM, LiteLLM, FastMCP y miles de agentes de IA construidos sobre FastAPI.
LiteLLM CVE-2026-42208: una inyección SQL pre-autenticación en la pasarela de IA
Divulgada el 20 de abril de 2026 y explotada 36 horas después de la publicación del aviso global, CVE-2026-42208 convierte la cabecera Authorization de LiteLLM en una lectura directa sobre cada credencial de proveedor que la pasarela intermedia.
LMDeploy SSRF: cuando un cargador de imágenes secuestra la infraestructura de IA
CVE-2026-33626 convirtió load_image() de LMDeploy en una primitiva SSRF genérica. El primer exploit en producción se observó 12 horas y 31 minutos tras la publicación del aviso.