事件经过
BerriAI LiteLLM 至 1.82.2 版本的弱点允许通过操纵 litellm/proxy/_experimental/mcp_server/openapi_to_mcp_generator.py(MCP OpenAPI 规范加载程序)中的 load_openapi_spec_async 函数的 spec_path 参数来实现路径遍历。CVSS 6.3 中等;发布于 2026-06-21。
影响分析
MCP OpenAPI 规范加载程序将 OpenAPI 规范转换为 LLM 代理可调用的 MCP 工具。spec_path 中的路径遍历缺陷允许攻击者使 LiteLLM 将服务器文件系统中的任意文件加载为 OpenAPI 规范,可能暴露秘密或导致意外的工具注册。
攻击途径
攻击者向 load_openapi_spec_async 函数提供包含路径遍历序列的精心构造的 spec_path 参数。
受影响系统
LiteLLM(BerriAI)≤ 1.82.2(MCP OpenAPI 规范加载程序组件)
缓解措施
升级 LiteLLM 至 ≥ 1.84.0。NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-12798