Kerentanan  ·  2026-07-17

Pembuatan MCP Server LiteLLM — Command Injection via Unvalidated JSON Config (STDIO Transport)

KerentananHigh dampakGlobalCVE-2026-30623
Fungsionalitas pembuatan MCP server LiteLLM melewatkan field 'command' dan 'args' yang ditentukan pengguna dari konfigurasi JSON langsung ke panggilan subprocess tanpa sanitasi, yang berakar pada kelas StdioServerParameters MCP SDK Anthropic, yang diwarisi oleh LiteLLM (dan lebih dari selusin platform AI lainnya).
LiteLLM adalah salah satu lapisan gateway/proxy LLM yang paling banyak didistribusikan dalam tumpukan AI produksi; kerentanan ini memungkinkan pihak mana pun yang dapat mempengaruhi konfigurasi server MCP (termasuk melalui prompt injection di beberapa deployment) untuk mendapatkan eksekusi kode jarak jauh penuh pada host gateway, mengekspos setiap kunci API model yang di-proxy dan layanan internal apa pun yang terhubung.
LiteLLM memungkinkan penambahan server MCP melalui konfigurasi JSON yang menentukan nilai command dan args yang berubah-ubah; ini dieksekusi pada host tanpa validasi, jadi pengguna (atau konfigurasi yang muncul dari prompt injection) dapat menentukan binary shell sebagai nilai command untuk mendapatkan eksekusi perintah pada host LiteLLM.
LiteLLM 1.18.10 (akar penyebab dalam transportasi stdio MCP SDK, diperbaiki dari v1.83.6-nightly ke depan)
Upgrade ke LiteLLM v1.83.7 atau lebih baru (perbaikan mendarat di commit 7b7f304 / PR #25343). Lihat vendor advisory di docs.litellm.ai/blog/mcp-stdio-command-injection-april-2026.
LiteLLM Security AdvisoryNVD CVE-2026-30623
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →