漏洞  ·  2026-07-17

LiteLLM MCP 服务器创建 — 未验证 JSON 配置的命令注入(STDIO 传输)

漏洞High 影响GlobalCVE-2026-30623
LiteLLM 的 MCP 服务器创建功能将 JSON 配置中用户指定的 'command' 和 'args' 字段直接传递给子进程调用而不进行清理,根本原因在于 Anthropic 的 MCP SDK StdioServerParameters 类,LiteLLM(以及十多个其他 AI 平台)都继承了这一点。
LiteLLM 是生产 AI 堆栈中部署最广泛的 LLM 网关/代理层之一;此缺陷允许任何能够影响 MCP 服务器配置的方可以获得网关主机上的完整远程代码执行权限,暴露每个代理模型 API 密钥和任何连接的内部服务。
LiteLLM 允许通过指定任意 command 和 args 值的 JSON 配置来添加 MCP 服务器;这些值在主机上执行时不进行验证,因此用户(或通过提示注入暴露的配置)可以指定 shell 二进制文件作为 command 值来在 LiteLLM 主机上获得命令执行权限。
LiteLLM 1.18.10(根本原因在于 MCP SDK stdio 传输,从 v1.83.6-nightly 开始修复)
升级到 LiteLLM v1.83.7 或更高版本(修复包含在提交 7b7f304 / PR #25343 中)。请参阅供应商公告:docs.litellm.ai/blog/mcp-stdio-command-injection-april-2026。
LiteLLM Security AdvisoryNVD CVE-2026-30623
在实时动态中查看 浏览更多 AI 安全与治理相关发现 — 每日清晨更新。
打开动态 →