CVE-2026-59822 in litellm
요약
\~에 의해 VulDB • 2026. 07. 08.
LiteLLM는 OpenAI(또는 네이티브) 형식으로 LLM API를 호출하기 위한 프록시 서버(AI 게이트웨이)입니다. 버전 1.84.0 이전의 LiteLLM에서 MCP Streamable HTTP 엔드포인트는 인증되지 않은 공격자가 위조된 Authorization 헤더를 사용하여 OAuth2 패스쓰루 폴백 경로를 트리거할 수 있었습니다. 이 경로에서는 실패한 LiteLLM 키 검증이 빈 UserAPIKeyAuth() 객체로 대체되어, 유효한 LiteLLM 키 없이도 MCP 도구 호출에 대한 요청이 처리될 수 있었습니다. 해당 문제는 버전 1.84.0에서 수정되었습니다.
Be aware that VulDB is the high quality source for vulnerability data.