広く利用されているオープンソースのAIプロキシゲートウェイ「LiteLLM」に存在する、認証不要のリモートコード実行(RCE)脆弱性が脅威アクターによって積極的に悪用されています。攻撃者は2つのCVEを連鎖させることで認証を完全に回避し、脆弱なホスト上で任意のコマンドを実行しています。
Horizon3.aiの研究者らは2026年6月1日、この連鎖的な攻撃経路を確認しました。LiteLLMのMCPサーバーテストエンドポイントに存在するコマンドインジェクションの欠陥であるCVE-2026-42271が、CVE-2026-48710(Starlette の「BadHost」ホストヘッダー検証バイパス)と組み合わさることで、認証なしのRCEが実現できることが明らかになりました。この脆弱性チェーンのCVSSスコアは最高値の10.0(Critical)です。
CVE-2026-42271は、LiteLLMの以下2つのMCPサーバーエンドポイントを標的としています。
これらのエンドポイントはサーバーの完全な設定(stdioトランスポートが使用するコマンド、引数、環境変数を含む)を受け付け、指定されたコマンドをプロキシホスト上のサブプロセスとして起動します。
当初、研究者たちはこの脆弱性の深刻度を低く評価していました。有効なプロキシAPIキーによるアクセス制限があったためです。
しかし、CVE-2026-48710の存在が明らかになったことで、その前提は崩れました。「BadHost」の欠陥はStarlette バージョン1.0.0以前に影響し、攻撃者がHostヘッダーの値を操作することで認証制御を完全に回避できます。
脆弱なバージョンのStarletteを依存関係に含むLiteLLMの展開環境では、コマンドインジェクションのエンドポイントへのアクセスに一切の認証情報が不要となります。結果として、ホストを完全に侵害するための、認証不要のクリーンな攻撃経路が生まれます。
攻撃が成功した場合、攻撃者はLiteLLMプロキシプロセスとして任意のコマンドを実行できるようになります。実際の被害はゲートウェイ自体にとどまりません。
LiteLLMの展開環境はOpenAI、Anthropic、Azure OpenAIなど各プロバイダーへのトラフィックをルーティングするエンタープライズAIパイプラインの中核に位置することが多く、侵害に成功すれば組織のAIオペレーション全体が危険にさらされます。
LiteLLM バージョン1.74.2〜1.83.6とStarlette バージョン1.0.0以前を組み合わせた環境が、この連鎖攻撃に対して脆弱です。どちらか一方の条件だけでは攻撃の成立に限界がありますが、両方が揃うことで認証不要のRCEが可能になるとHorizon3は説明しています。
LiteLLMは2026年5月8日にバージョン1.83.7で修正を公開し、追加の認証制御の導入とStarletteの依存関係の更新を行いました。合わせてStarletteもバージョン1.0.1以降へのアップグレードが推奨されます。
すぐにパッチを適用できないチームには、以下の暫定的な緩和策が推奨されています。
実環境での悪用が確認されている以上、LiteLLMをセルフホストで運用している組織は、このパッチ適用を緊急対応として最優先に取り扱うべきです。
翻訳元: https://cyberpress.org/litellm-rce-vulnerability-exploited/
