何が起きたか
BerriAI LiteLLMバージョン1.59.8までの弱点は、litellm/proxy/_experimental/mcp_server/auth/user_api_key_auth_mcp.py(MCPプロキシコンポーネント)内のUserAPIKeyAuth関数の認可不適切を許可します。悪用はMCPプロキシの認可制御をバイパスすることを許可できます。CVSS 7.3 High。2026年6月21日に公開。PoCはgistを通じて公開されています。
なぜ重要か
LiteLLM MCPプロキシはLiteLLMを通じてルーティングされたModel Context Protocolツール呼び出しの認可ゲートです。ここでの認化バイパスは認証されていない呼び出し者がMCP接続ツール(コード実行サンドボックス、データベースコネクタ、Webブラウジングツール)を認識情報なしで呼び出すことを許可し、直接エージェントアクション制御の奪取を可能にします。
攻撃経路
リモート認証不要なHTTPリクエスト。MCPプロキシ認化パスのUserAPIKeyAuth関数を操作する。
影響を受けるシステム
LiteLLM (BerriAI) ≤ 1.59.8 (MCPプロキシコンポーネント)
緩和策
LiteLLMを1.59.8を超えるバージョンにアップグレードしてください(最新パッチ:≥1.84.0)。NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-12773。PoC:https://gist.github.com/YLChen-007/3cfaad10a69d7a15e4d4d458cb53309e