何が起きたか
LiteLLMのMCPテストエンドポイントは、検証なしで攻撃者が指定するコマンドから任意のサブプロセスを生成します。CISAは2026年6月9日にKEVカタログに追加し、アクティブな野生での悪用が確認されています。認証なしアクセスのためのStarletteホストヘッダーバイパスとチェーンします。
なぜ重要か
LiteLLMは最も広く導入されているオープンソースAIゲートウェイであり、100以上のモデルプロバイダーへのリクエストをルーティングします。コマンド注入と認証バイパスの組み合わせ = すべての組織のAIインタラクションの信頼の中心点における認証なしRCE。すべてのプロンプト、応答、および認証情報は、侵害されたゲートウェイを通じて渡されます。
攻撃経路
POST /mcp-rest/test/connectionまたは/mcp-rest/test/tools/listエンドポイントはサニタイズされていない「command」フィールドを受け入れます。検証なしでのサブプロセス生成。CVE-2026-48710(Starletteホストヘッダーバイパス)とチェーンして認証なしRCE(CVSS結合10.0)
影響を受けるシステム
LiteLLM 1.74.2~1.83.6(1.83.7で修正)。LiteLLMを介してルーティングされるすべてのモデルプロバイダーに影響
緩和策
LiteLLM 1.83.7以降に直ちにパッチを適用。Starletteを1.0.1以降に更新。すべてのプロバイダーAPIキー、マスターキー、およびデータベース認証情報をローテーション。MCPテストエンドポイントのネットワークアクセスを制限。