무슨 일이 있었나
BerriAI LiteLLM 버전 1.82.2까지의 보안 취약점은 litellm/proxy/_experimental/mcp_server/rest_endpoints.py(MCP 서버 연결 테스트 컴포넌트)의 _execute_with_mcp_client 함수 조작을 통한 서버 측 요청 위조(SSRF)를 허용합니다. CVSS 6.3 중간; 2026-06-21에 발행.
왜 중요한가
LLM 게이트웨이의 MCP 서버 연결 테스트 엔드포인트의 SSRF는 공격자가 LiteLLM 프록시에서 내부 네트워크 서비스(클라우드 메타데이터 엔드포인트(169.254.169.254), 내부 데이터베이스 또는 기타 MCP 서버)로 피벗할 수 있게 하여, 공격자 대신 임의의 아웃바운드 연결을 수행하도록 프록시를 유도합니다.
공격 경로
원격 공격자가 MCP 서버 연결 테스트 엔드포인트에 조작된 요청을 보내어, 서버가 내부 또는 외부 대상에 대한 임의의 아웃바운드 HTTP 요청을 수행하게 합니다.
영향받는 시스템
LiteLLM (BerriAI) ≤ 1.82.2 (MCP 서버 연결 테스트 컴포넌트)
완화 방안
LiteLLM을 ≥ 1.84.0으로 업그레이드하세요. NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-12774