何が起きたか
BerriAIはCVE-2026-59822(CVSS 8.8)を開示および修正した。これはLiteLLMのMCPストリーマブルHTTPエンドポイントの認証バイパスであり、不正なOAuth2フォールバック・パスを悪用することで、未認証攻撃者がMCPツール呼び出し機能に到達することを可能にしていた。
なぜ重要か
LiteLLMは、多くの組織の本番環境LLM APIの前に位置する広く導入されたAIゲートウェイ/プロキシである。そのMCPエンドポイントの認証バイパスは、未認証攻撃者が任意のMCPツールおよびLLM APIコールを呼び出すことを可能にし、バックエンド・モデル・アクセスおよび接続されたツール統合を未認可使用に晒す可能性がある。
攻撃経路
未認証攻撃者は捏造されたAuthorizationヘッダーをLiteLLMのMCPストリーマブルHTTPエンドポイントに送信し、OAuth2パススルー・フォールバック・パスをトリガーする。LiteLLMキー検証が失敗すると、アプリケーションは空のUserAPIKeyAuth()オブジェクトを代用するが、それでもリクエストがMCPツーリングに到達することを許可し、認証を完全にバイパスする。
影響を受けるシステム
LiteLLM(AIゲートウェイ/LLMプロキシ)1.84.0より前
緩和策
LiteLLM v1.84.0にアップグレードする。このバージョンにはこの修正に加えて、より広い認証/認可/MCPセキュリティの強化が含まれている。