LiteLLMに重大な脆弱性——Hostヘッダーインジェクションによる認証バイパスが可能に

大規模言語モデル(LLM)APIの管理に広く使われているオープンソースのプロキシフレームワーク「LiteLLM」に、深刻なセキュリティ脆弱性が公開されました。

CVE-2026-49468(GHSA-4xpc-pv4p-pm3w)として追跡されているこの脆弱性は、未認証の攻撃者がHostヘッダーインジェクションを悪用して認証制御を回避し、保護された管理ルートへ不正にアクセスできるものです。

CWE-290(スプーフィングによる認証バイパス)に分類されるこの脆弱性は、LiteLLMプロキシの認証ユーティリティレイヤーに存在します。具体的には、litellm/proxy/auth/auth_utils.py内のget_request_route()関数に問題があります。

この関数は、受信したHTTP HostヘッダーをもとにStarletteウェブフレームワークが再構築したrequest.url.pathから、有効なルートを導出しています。

認証ゲートは攻撃者が制御可能な入力から導出されたルートパスを評価するため、細工されたHostヘッダーを送ることで、FastAPIが実際にディスパッチするルートとはまったく異なるルートを認証レイヤーに評価させることができます。

このミスマッチにより深刻な盲点が生まれます。見かけ上は安全なルートとして認証チェックを通過しながら、リクエストは内部では制限された管理エンドポイントへルーティングされてしまいます。

この脆弱性のCVSS v4基本スコアは「Critical(緊急)」と評価されており、ベクター文字列はCVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:Hとなっています。

この攻撃はネットワーク経由で実行可能で、特権もユーザーの操作も不要です。脆弱なシステムおよびそれと連携するシステムの双方において、機密性・完全性・可用性に高い影響を与えます。バージョン1.84.0より前のすべてのLiteLLMが影響を受けます。

ただし、アドバイザリによれば、プロキシへのトラフィックを転送する前にHostヘッダーを検証・正規化する上流のネットワーク層が存在する場合はバイパスをブロックできるため、多くの本番環境では直接の影響を受けない可能性があるとされています。

以下の手段で保護されているデプロイ環境はリスクにさらされていません。

ただし、こうした上流の制御が存在しない、セルフホスト環境やインターネットに直接公開されているデプロイ環境は依然として高いリスクにさらされています。

この脆弱性はLiteLLMバージョン1.84.0で修正されました。メンテナーはすべてのユーザーに対し、直ちにアップグレードするよう強く推奨しています。アップデートに際して設定変更は不要で、修正済みリリースへアップグレードするだけで自動的に修正が適用されます。

直ちにアップグレードできない組織向けの暫定対策として、Hostヘッダーを検証する上流コンポーネントの背後にLiteLLMプロキシを配置することが推奨されています。

有効な手段としては、CDN/WAF、明示的な許可リストを持つリバースプロキシ、ホストベースのルーティングを強制するクラウドロードバランサーなどが挙げられます。また、ファイアウォールレベルでプロキシリスナーへのネットワークアクセスを制限することも推奨されます。

アドバイザリはGitHub Advisory Databaseに公開され、BerriAIセキュリティチームによってレビューされています。

LLMプロバイダーへの統合ゲートウェイとして企業のAIインフラにおけるLiteLLMの採用が拡大している現状を踏まえ、各組織はこのパッチを最優先事項として対応し、デプロイアーキテクチャを改めて精査することが求められます。

翻訳元: https://cyberpress.org/critical-litellm-flaw/

ソース: cyberpress.org