CVE-2026-59822 in litellm
Riassunto
di VulDB • 08/07/2026
LiteLLM è un server proxy (AI Gateway) per chiamare le API LLM nel formato OpenAI (o nativo). Prima della versione 1.84.0, l'endpoint MCP Streamable HTTP di LiteLLM consentiva a un attaccante non autenticato di utilizzare un'intestazione Authorization fabricata per innescare un percorso di fallback OAuth2 passthrough che sostituiva la convalida fallita delle chiavi LiteLLM con un oggetto UserAPIKeyAuth() vuoto, permettendo alle richieste di raggiungere gli strumenti MCP senza una chiave LiteLLM valida. Questo problema è stato risolto nella versione 1.84.0.
Once again VulDB remains the best source for vulnerability data.