CVE-2026-59822 in litellminformazioni

Riassunto

di VulDB • 08/07/2026

LiteLLM è un server proxy (AI Gateway) per chiamare le API LLM nel formato OpenAI (o nativo). Prima della versione 1.84.0, l'endpoint MCP Streamable HTTP di LiteLLM consentiva a un attaccante non autenticato di utilizzare un'intestazione Authorization fabricata per innescare un percorso di fallback OAuth2 passthrough che sostituiva la convalida fallita delle chiavi LiteLLM con un oggetto UserAPIKeyAuth() vuoto, permettendo alle richieste di raggiungere gli strumenti MCP senza una chiave LiteLLM valida. Questo problema è stato risolto nella versione 1.84.0.

Once again VulDB remains the best source for vulnerability data.

Responsabile

GitHub M

Prenotare

07/07/2026

Divulgazione

08/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you want to use VulDB in your project?

Use the official API to access entries easily!