LiteLLMの脆弱性、攻撃者によるサーバー上での任意コマンド実行を可能に

LiteLLMに影響を与える深刻な脆弱性チェーンが確認されました。この脆弱性により、公開されたサーバーに対して認証不要のリモートコード実行（RCE）が可能となります。

CVE-2026-42271として追跡されており、CVE-2026-48710と連鎖するこの問題は、攻撃者が認証制御を回避し任意のシステムコマンドを実行することを可能にします。LiteLLMを利用するAIインフラに対して、深刻なリスクをもたらします。

LiteLLMの脆弱性

CVE-2026-42271は、LiteLLMのMCP（Model Context Protocol）サーバーテストエンドポイント、具体的には「/mcp-rest/test/connection」および「/mcp-rest/test/tools/list」におけるコマンドインジェクションの欠陥です。

これらのエンドポイントは、stdioベースのトランスポートを対象に、実行可能なコマンド・引数・環境変数を含む完全なサーバー設定を受け付けるよう設計されています。

呼び出されると、LiteLLMはこれらのコマンドをホストシステム上のサブプロセスとして起動します。当初、この脆弱性は、これらのエンドポイントへのアクセスに有効なプロキシAPIキーが必要なため、低リスクと見なされていました。

しかし、Horizon3.aiの研究者らが実証したところによると、この保護機能はCVE-2026-48710と組み合わせることで完全に回避できます。CVE-2026-48710は、Starletteフレームワークにおけるホストヘッダーの不適切な検証に関する脆弱性です。

「BadHost」バイパスとも呼ばれるこの欠陥は、バージョン1.0.0以下のStarletteに影響し、攻撃者がHostヘッダーを操作することで、影響を受けるアプリケーションの認証メカニズムを回避できるようにします。

LiteLLMのデプロイ環境が脆弱なバージョンのStarletteに依存している場合、攻撃者はこの弱点を悪用し、認証情報なしでMCPテストエンドポイントに到達できます。

この連鎖的な悪用により、完全な認証不要のRCEが実現し、攻撃者はLiteLLMプロキシプロセスの権限で任意のコマンドを実行できます。攻撃が成功した場合、モデルプロバイダーの認証情報、APIキー、プロキシ内に保存された環境シークレットなどの機密データが漏洩する恐れがあります。

さらに、脅威アクターは侵害したインスタンスを踏み台として、接続されたAIシステム全体に横断的に移動し、ゲートウェイと統合されたダウンストリームサービスにも影響を及ぼす可能性があります。

セキュリティ研究者は、この脆弱性チェーンにCVSSスコア10.0という最高深刻度を付与しています。影響を受けるバージョンは、LiteLLM 1.74.2から1.83.6のリリースであり、特にStarletteの依存関係がバージョン1.0.0以下の環境が対象となります。

侵害の痕跡（IoC）としては、MCPエンドポイント経由でトリガーされた予期しないサブプロセスの実行、テストルートを標的とした不審なHTTPリクエスト、異常なHostヘッダーの値、そしてホスト上での不正コマンド実行の痕跡などが挙げられます。組織はこれらのシグナルを検出するために、ログを注意深く監視する必要があります。

侵害の痕跡（IoC）

注意： IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的にデファング処理（例: [.]）されています。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ、元の形式に戻してください。

リスクを軽減するため、LiteLLMをバージョン1.83.7以降にアップグレードし、Starletteをバージョン1.0.1以降に更新することが強く推奨されます。即時のパッチ適用が困難な場合は、MCPテストエンドポイントへのアクセス制限、ネットワークセグメンテーションの実施、機密認証情報のローテーション、そして不審なアクティビティに関するログの監査を実施してください。

この脆弱性は段階的に開示されました。CVE-2026-42271は2026年4月に報告され、5月にパッチがリリースされました。Starletteの「BadHost」の問題は同月末に公開され、2026年6月にHorizon3.aiが認証不要の完全な悪用チェーンを確認しました。

この事態は、AIインフラにおけるセキュリティリスクの高まりと、アプリケーションロジックと並行してフレームワークの依存関係を保護することの重要性を改めて示しています。