何が起きたか
Obsidian Security は 2026 年 6 月 11 日に LiteLLM における CVSS 9.9 の 3 つの脆弱性チェーンを公開し、2026 年 2 月に BerriAI に責任を持って報告され、v1.83.14-stable で完全に修正されました。CVE-2026-47101 は内部ユーザーが任意のルートアクセス権を持つ API キーを生成することを許可します。CVE-2026-47102 は保護されていない user_role フィールドを介して proxy_admin への自動昇格を許可します。CVE-2026-40217 は Custom Code Guardrail のサンドボックス化されていない exec() 呼び出しを通じた RCE を許可します。さらに、Obsidian は新しいレスポンスインジェクション攻撃を実証しました。侵害されたプロキシは組み込みコールバックを使用してモデルレスポンスをトランジット中に静かに書き直し、モデルに到達しない悪意のあるツール呼び出しを注入し、プロンプトインジェクション防御を完全に回避します。
なぜ重要か
このチェーンは、AI ゲートウェイが長い間パッシブなミドルウェアとして扱われてきたが、現在では一流の攻撃対象であることを示しています。認証情報盗難を超えて、レスポンスインジェクション技術は質的に新しいものです。これは LLM を操作するのではなく、モデルとエージェント間のワイヤーを傍受し、ゲートウェイをエージェントハイジャックデバイスに変換します。侵害された LiteLLM プロキシを経由するすべてのエージェントは静かにリダイレクトされる可能性があります。影響範囲には、すべてのダウンストリーム AI エージェントワークフロー、AI 支援コードレビューを使用する CI/CD パイプライン、および MCP 接続ツールが含まれます。
攻撃経路
デフォルトの低権限 internal_user アカウントからの 3 ステップチェーン:(1) CVE-2026-47101 — allowed_routes:["/*"] を持つ API キーを作成してルートレベル RBAC をバイパス;(2) CVE-2026-47102 — /user/update に user_role:"proxy_admin" を POST して管理者に自動昇格;(3) CVE-2026-40217 — Custom Code Guardrail exec() エンドポイント(ビルトインフィルタリングなし)を使用してリバースシェルを取得。Obsidian は侵害されたプロキシを経由してルーティングされた Claude Code に対するレスポンスインジェクションも実証しました。単一の 'hello' プロンプトからデベロッパーマシン上でリバースシェルを提供する悪意のあるツール呼び出しを注入しました。
影響を受けるシステム
BerriAI LiteLLM < 1.83.14-stable (CVE-2026-47101、CVE-2026-47102、CVE-2026-40217)
緩和策
LiteLLM ≥1.83.14-stable にアップグレード(3 つの CVE すべて修正済み)。Obsidian Security により 2026 年 6 月 11 日に公開;2026 年 2 月に BerriAI に報告。