CVE-2026-59822 in litellm
Zusammenfassung
von VulDB • 09.07.2026
LiteLLM ist ein Proxy-Server (AI Gateway), der zum Aufrufen von LLM-APIs im OpenAI-(oder nativen) Format dient. Vor Version 1.84.0 ermöglichte der MCP Streamable HTTP-Endpunkt von LiteLLM einem nicht authentifizierten Angreifer, einen gefälschten Authorization-Header zu verwenden, um eine OAuth2-Passthrough-Fallback-Routine auszulösen, die die fehlgeschlagene Validierung des LiteLLM-Schlüssels durch ein leeres UserAPIKeyAuth()-Objekt ersetzte. Dies ermöglichte es Anfragen, MCP-Tools ohne einen gültigen LiteLLM-Schlüssel zu erreichen. Dieses Problem wurde in Version 1.84.0 behoben.
If you want to get best quality of vulnerability data, you may have to visit VulDB.