무슨 일이 있었나
LiteLLM의 MCP 서버 생성 기능은 JSON 설정에서 사용자 지정 'command' 및 'args' 필드를 sanitization 없이 서브프로세스 호출에 직접 전달합니다. 근본 원인은 LiteLLM(및 12개 이상의 다른 AI 플랫폼)이 상속한 Anthropic의 MCP SDK StdioServerParameters 클래스입니다.
왜 중요한가
LiteLLM은 프로덕션 AI 스택에서 가장 널리 배포된 LLM 게이트웨이/프록시 계층 중 하나입니다. 이 결함은 MCP 서버 설정에 영향을 미칠 수 있는 모든 당사자(일부 배포에서 프롬프트 주입을 통한 포함)가 게이트웨이 호스트에서 전체 원격 코드 실행을 획득할 수 있게 하며, 모든 프록시된 모델 API 키 및 연결된 내부 서비스를 노출합니다.
공격 경로
LiteLLM은 임의의 command 및 args 값을 지정하는 JSON 설정을 통해 MCP 서버를 추가할 수 있으며, 이들은 검증 없이 호스트에서 실행되므로 사용자(또는 프롬프트 주입으로 표면화된 설정)가 셸 바이너리를 command 값으로 지정하여 LiteLLM 호스트에서 명령 실행을 획득할 수 있습니다.
영향받는 시스템
LiteLLM 1.18.10 (근본 원인은 MCP SDK stdio 전송에 있으며, v1.83.6-nightly부터 수정됨)
완화 방안
LiteLLM v1.83.7 이상으로 업그레이드하세요 (수정사항은 커밋 7b7f304 / PR #25343에 포함됨). docs.litellm.ai/blog/mcp-stdio-command-injection-april-2026의 공급자 권고를 참조하세요.