Katalog CVE

CVE-2026-12798

ŚrednieCVSS 6.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.21%

Percentyl 11 — wyżej niż 11% wszystkich znanych CVE

Streszczenie

Zidentyfikowano słabość w BerriAI litellm do wersji 1.82.2, dotyczącą funkcji load_openapi_spec_async. Manipulacja argumentem spec_path prowadzi do ataku typu server-side request forgery.

Ocena ryzyka

Atakujący może zdalnie wykorzystać tę podatność, co stwarza poważne zagrożenie dla bezpieczeństwa serwera i danych organizacji.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji BerriAI litellm, aby usunąć tę podatność oraz monitorowanie systemu pod kątem potencjalnych ataków.

Oryginalny opis (angielski, źródło NVD)

A weakness has been identified in BerriAI litellm up to 1.82.2. Affected by this vulnerability is the function load_openapi_spec_async of the file litellm/proxy/_experimental/mcp_server/openapi_to_mcp_generator.py of the component MCP OpenAPI Spec Loader. This manipulation of the argument spec_path causes server-side request forgery. It is possible to initiate the attack remotely. The exploit has been made available to the public and could be used for attacks. The vendor was contacted early about this disclosure.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS