事件经过
BerriAI LiteLLM 至 1.82.2 版本的安全漏洞允许通过操纵 litellm/proxy/_experimental/mcp_server/rest_endpoints.py(MCP 服务器连接测试组件)中的 _execute_with_mcp_client 函数来实现服务器端请求伪造(SSRF)。CVSS 6.3 中等;发布于 2026-06-21。
影响分析
LLM 网关的 MCP 服务器连接测试端点中的 SSRF 允许攻击者从 LiteLLM 代理转向内部网络服务——云元数据端点(169.254.169.254)、内部数据库或其他 MCP 服务器——通过使代理代表攻击者进行任意出站连接。
攻击途径
远程攻击者向 MCP 服务器连接测试端点发送精心构造的请求,导致服务器向内部或外部目标进行任意出站 HTTP 请求。
受影响系统
LiteLLM(BerriAI)≤ 1.82.2(MCP 服务器连接测试组件)
缓解措施
升级 LiteLLM 至 ≥ 1.84.0。NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-12774