何が起きたか
Obsidian Securityが2026年6月15日に開示した3段階の権限昇格チェーン:キー作成における認可バイパス→保護されていないユーザー更新エンドポイント経由の権限昇格→フィルタリングされていないexec()経由のサンドボックス脱出。結合CVSS 9.9。MCPコールバック注入によるClaudeコードレスポンスのハイジャックのデモンストレーション。
なぜ重要か
デフォルトの低権限内部ユーザーは、プロキシ管理者まで昇格し、AIエージェント応答に悪意のあるコールバックを注入できます。侵害されたLiteLLMインスタンス経由でClaudeコードを使用する開発者は、攻撃者によって静かに改ざんされ、バックドアまたは認証情報をバックドアを挿入したコード提案を受け取ります。
攻撃経路
(1) CVE-2026-47101:認可バイパスにより低権限ユーザーが/*/allowed_routesでワイルドカードAPIキーを発行可能。(2) CVE-2026-47102:/user/updateエンドポイントがproxy_adminへの自己昇格を受け入れる。(3) CVE-2026-40217:カスタムコードガードレールがサンドボックスなしでexec()を介して任意のPythonを実行。一緒に:低権限→フル管理RCE + MCPコールバックハイジャック
影響を受けるシステム
LiteLLM < 1.83.14-stable。バージョン1.74.2以降から1.83.13までのすべてが完全なチェーンの影響を受けます
緩和策
LiteLLM 1.83.14-stable以降にアップグレード(パッチは2026年5月2日以降利用可能)。パッチギャップは6週間以上であり、パッチされていないインスタンスは悪用されたものとして扱う。すべての保存された認証情報をローテーション。