Apa yang terjadi
Fungsionalitas pembuatan MCP server LiteLLM melewatkan field 'command' dan 'args' yang ditentukan pengguna dari konfigurasi JSON langsung ke panggilan subprocess tanpa sanitasi, yang berakar pada kelas StdioServerParameters MCP SDK Anthropic, yang diwarisi oleh LiteLLM (dan lebih dari selusin platform AI lainnya).
Mengapa penting
LiteLLM adalah salah satu lapisan gateway/proxy LLM yang paling banyak didistribusikan dalam tumpukan AI produksi; kerentanan ini memungkinkan pihak mana pun yang dapat mempengaruhi konfigurasi server MCP (termasuk melalui prompt injection di beberapa deployment) untuk mendapatkan eksekusi kode jarak jauh penuh pada host gateway, mengekspos setiap kunci API model yang di-proxy dan layanan internal apa pun yang terhubung.
Vektor serangan
LiteLLM memungkinkan penambahan server MCP melalui konfigurasi JSON yang menentukan nilai command dan args yang berubah-ubah; ini dieksekusi pada host tanpa validasi, jadi pengguna (atau konfigurasi yang muncul dari prompt injection) dapat menentukan binary shell sebagai nilai command untuk mendapatkan eksekusi perintah pada host LiteLLM.
Sistem yang terdampak
LiteLLM 1.18.10 (akar penyebab dalam transportasi stdio MCP SDK, diperbaiki dari v1.83.6-nightly ke depan)
Mitigasi
Upgrade ke LiteLLM v1.83.7 atau lebih baru (perbaikan mendarat di commit 7b7f304 / PR #25343). Lihat vendor advisory di docs.litellm.ai/blog/mcp-stdio-command-injection-april-2026.