Apa yang terjadi
Kelemahan dalam BerriAI LiteLLM hingga versi 1.59.8 memungkinkan autentikasi tidak tepat dalam fungsi UserAPIKeyAuth di dalam litellm/proxy/_experimental/mcp_server/auth/user_api_key_auth_mcp.py (komponen MCP Proxy). Eksploitasi dapat memungkinkan bypass kontrol autentikasi di MCP Proxy. CVSS 7.3 High; diterbitkan 2026-06-21. PoC telah dibuat publik melalui gist.
Mengapa penting
MCP Proxy LiteLLM adalah gerbang autentikasi untuk panggilan alat Model Context Protocol yang dirutekan melalui LiteLLM. Bypass autentikasi di sini memungkinkan pemanggil yang tidak terauthentikasi untuk menginvokasi alat yang terhubung MCP — kotak pasir eksekusi kode, konektor basis data, alat penjelajahan web — tanpa kredensial, secara langsung memungkinkan pengambil alihan tindakan agentic.
Vektor serangan
Permintaan HTTP unauthenticated jarak jauh memanipulasi fungsi UserAPIKeyAuth dalam jalur autentikasi MCP Proxy.
Sistem yang terdampak
LiteLLM (BerriAI) ≤ 1.59.8 (komponen MCP Proxy)
Mitigasi
Upgrade LiteLLM ke versi di luar 1.59.8 (terbaru yang diperbaiki: ≥ 1.84.0). NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-12773; PoC: https://gist.github.com/YLChen-007/3cfaad10a69d7a15e4d4d458cb53309e