事件经过
BerriAI LiteLLM 至 1.59.8 版本的弱点允许 litellm/proxy/_experimental/mcp_server/auth/user_api_key_auth_mcp.py(MCP 代理组件)中的 UserAPIKeyAuth 函数中的身份验证不当。利用可能允许绕过 MCP 代理中的身份验证控制。CVSS 7.3 高;发布于 2026-06-21。PoC 已通过 gist 公开发布。
影响分析
LiteLLM MCP 代理是通过 LiteLLM 路由的模型上下文协议工具调用的身份验证门。这里的身份验证绕过允许未认证的调用者调用 MCP 连接的工具——代码执行沙箱、数据库连接器、网络浏览工具——不需要凭证,直接导致代理式操作接管。
攻击途径
远程未认证 HTTP 请求操纵 MCP 代理身份验证路径中的 UserAPIKeyAuth 函数。
受影响系统
LiteLLM(BerriAI)≤ 1.59.8(MCP 代理组件)
缓解措施
将 LiteLLM 升级至 1.59.8 之后的版本(最新补丁:≥ 1.84.0)。NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-12773;PoC:https://gist.github.com/YLChen-007/3cfaad10a69d7a15e4d4d458cb53309e