무슨 일이 있었나
BerriAI LiteLLM 버전 1.59.8까지의 약점은 litellm/proxy/_experimental/mcp_server/auth/user_api_key_auth_mcp.py(MCP 프록시 컴포넌트)의 UserAPIKeyAuth 함수에서 부적절한 인증을 허용합니다. 악용은 MCP 프록시에서 인증 제어를 우회할 수 있습니다. CVSS 7.3 높음; 2026-06-21에 발행. PoC는 gist를 통해 공개되었습니다.
왜 중요한가
LiteLLM MCP 프록시는 LiteLLM을 통해 라우팅되는 Model Context Protocol 도구 호출에 대한 인증 게이트입니다. 여기에서의 인증 우회는 인증되지 않은 호출자가 MCP 연결 도구(코드 실행 샌드박스, 데이터베이스 커넥터, 웹 브라우징 도구)를 자격증명 없이 호출할 수 있게 하여, 직접적으로 에이전트 동작 인수를 가능하게 합니다.
공격 경로
MCP 프록시 인증 경로에서 UserAPIKeyAuth 함수를 조작하는 원격 인증되지 않은 HTTP 요청.
영향받는 시스템
LiteLLM (BerriAI) ≤ 1.59.8 (MCP 프록시 컴포넌트)
완화 방안
LiteLLM을 1.59.8 이상의 버전으로 업그레이드하세요(최신 패치됨: ≥ 1.84.0). NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-12773; PoC: https://gist.github.com/YLChen-007/3cfaad10a69d7a15e4d4d458cb53309e