何が起きたか
BerriAI LiteLLMバージョン1.82.2までのセキュリティ脆弱性は、litellm/proxy/_experimental/mcp_server/rest_endpoints.py(MCPサーバー接続テストコンポーネント)の_execute_with_mcp_client関数の操作を通じたサーバー側リクエスト偽造(SSRF)を許可します。CVSS 6.3 Medium。2026年6月21日に公開。
なぜ重要か
LLMゲートウェイのMCPサーバー接続テストエンドポイントのSSRFは、攻撃者がLiteLLMプロキシから内部ネットワークサービス(169.254.169.254のクラウドメタデータエンドポイント、内部データベース、または他のMCPサーバー)へピボットすることを許可し、攻撃者の代わりに任意のアウトバウンド接続を行うようにプロキシを引き起こします。
攻撃経路
リモート攻撃者は、MCPサーバー接続テストエンドポイントに細工されたリクエストを送信し、サーバーに内部または外部ターゲットへの任意のアウトバウンドHTTPリクエストを行わせます。
影響を受けるシステム
LiteLLM (BerriAI) ≤ 1.82.2 (MCPサーバー接続テストコンポーネント)
緩和策
LiteLLMを≥1.84.0にアップグレードしてください。NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-12774