LiteLLM

Die Schwachstelle betrifft LiteLLM, einen Proxy-Server (AI-Gateway), der Anfragen an verschiedene LLM-Schnittstellen im OpenAI-Format weiterreicht. Betroffen ist die Vorschaufunktion für MCP-Server: Über zwei Endpunkte, mit denen sich eine MCP-Server-Konfiguration vor dem Speichern testen lässt, ließ sich eine vollständige Serverkonfiguration im Anfragetext übergeben – einschließlich der Felder für Befehl, Argumente und Umgebungsvariablen des stdio-Transports. Beim Verbindungsversuch startete der Proxy den übergebenen Befehl als Unterprozess auf dem Host, und zwar mit den Rechten des Proxy-Prozesses. Abgesichert waren die Endpunkte lediglich durch einen gültigen API-Schlüssel, ohne jede Rollenprüfung. Dadurch konnte jeder authentifizierte Nutzer – auch Inhaber gering privilegierter interner Schlüssel – beliebige Befehle auf dem Host ausführen. Im Ergebnis lässt sich aus einem einfachen Benutzerkonto heraus die Kontrolle über das System erlangen, auf dem der Proxy läuft.