BerryAIが開発するオープンソースのAIゲートウェイ「LiteLLM」に存在するコマンドインジェクション脆弱性(CVE-2026-42271)が攻撃者に悪用されています。米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は月曜日、この欠陥を既知の悪用済み脆弱性カタログに追加することで、その事実を正式に確認しました。
CVE-2026-42271の概要
LiteLLMは、単一の(OpenAI)フォーマットを使用してさまざまな大規模言語モデルAPIを呼び出すための統一インターフェイスを提供するオープンソースライブラリです。
開発者と企業の双方に幅広く利用されており、ベンダーロックインの回避、APIキーとコストの一元管理、そして統合コードを書き直すことなくAIトラフィックのルーティングや負荷分散を実現するために活用されています。
LiteLLMは、アプリケーションにPython SDK(ソフトウェア開発キット)を直接組み込む方法のほか、チームや組織がアプリケーションの向き先として利用するスタンドアロンのAIゲートウェイ/プロキシサーバーとして運用する方法でも使用できます。
2026年4月に公開開示されたCVE-2026-42271は、コマンドおよびOSコマンドで使用される特殊要素の不適切な無効化に起因します。
「MCPサーバーを保存前にプレビューするために使用される2つのエンドポイント — POST /mcp-rest/test/connection と POST /mcp-rest/test/tools/list — は、stdioトランスポートで使用されるcommand、args、envフィールドを含む完全なサーバー設定をリクエストボディで受け付けていました」と、同社のGitHubアドバイザリは説明しています。
「stdioの設定を受け取ったエンドポイントは接続を試み、プロキシプロセスの権限でプロキシホスト上にサブプロセスとして任意のコマンドを生成しました。これらのエンドポイントは有効なプロキシAPIキーによってのみ保護されており、ロールチェックは実施されていませんでした。そのため、低権限の内部ユーザーキーの所持者を含む認証済みユーザーであれば誰でも、ホスト上で任意のコマンドを実行できる状態にありました。」
「BadHost」脆弱性がLiteLLM攻撃者のハードルを低下
当初、CVE-2026-42271を悪用するには有効なプロキシAPIキーが必要と考えられていました。
しかしHorizon3.aiの研究者たちは、LiteLLMがHTTPリクエスト処理に使用している軽量Pythonウェブフレームワーク「Starlette」に影響する認証バイパス脆弱性CVE-2026-48710(BadHostと命名)を連鎖させることで、このAPIキー要件を回避できることを確認しました。
「悪用に成功した攻撃者は、LiteLLMホスト上での任意コマンド実行、モデルプロバイダー認証情報へのアクセス、プロキシが保存するAPIキーやシークレットの窃取、接続されたAIインフラへの横展開、ゲートウェイと統合されたダウンストリームシステムの侵害を行える可能性があります」と研究者たちは指摘し、侵害の可能性を示す侵害指標(IoC)と活動のリストを公開しました。
CVE-2026-48710はStarlette v1.0.1で修正済みです。
繰り返し標的となるLiteLLM
CVE-2026-42271の修正はLiteLLMライブラリのv1.83.7に組み込まれており、テストエンドポイントの呼び出しをPROXY_ADMINロールを持つユーザーのみに限定する追加の認可制御と、Starletteの依存関係のアップデートが含まれています。
LiteLLMを利用している個人・組織に対しては、修正済みバージョンへのアップグレードが推奨されています。アップグレードが困難な場合は、前述のMCPテストエンドポイントへのアクセスをブロックし、ネットワークアクセスを信頼済みセグメントに制限するとともに、プロキシが保存している認証情報をローテーションするよう呼びかけています。
残念ながら、CVE-2026-42271が実際に悪用された攻撃の詳細は明らかになっておらず、CVE-2026-48710が同時に悪用されているかどうかも確認されていません。CISAは米国連邦民間機関に対し、2026年6月22日までにCVE-2026-42271へ対処するよう指示しています。
今月に入り、公開されたLiteLLMの欠陥が攻撃者に悪用されるのはこれで2度目となります。
また2026年3月には、BerryAIがTeamPCPによるサプライチェーン攻撃を受け、悪意のあるLiteLLMバージョンがPython Package Index(PyPI)に公開される事態も発生しています。
