何が起きたか
LiteLLM の MCP テストエンドポイントは適切な入力検証なしでシェルコマンドを受け入れます。コマンドインジェクションの脆弱性 (CVSS 8.7) は Starlette のホストヘッダー検証バイパス (CVE-2026-48710, CVSS 6.5) とチェーンして、認証なし RCE を実現します。CISA は CVE-2026-42271 を 2026-06-08 に KEV に追加し、アクティブな悪用が確認されています。
なぜ重要か
LiteLLM はエンタープライズデプロイメント内での AI モデルアクセスの中心的なボトルネックです。侵害されたゲートウェイは、すべてのプロバイダー API キーを公開し、モデルレスポンスを書き換えてエージェントを攻撃者が選んだツール呼び出しに誘導でき、ダウンストリーム AI サービスのシークレットを保持する認証情報ボルトへのアクセスを提供します。
攻撃経路
認証なしの攻撃者が LiteLLM の MCP テストエンドポイント (/mcp-rest/test) でコマンドインジェクションを呼び出します。CVE-2026-48710 (Starlette ホストヘッダーバイパス) とチェーンされると、認証がバイパスされ、ゲートウェイホスト上で任意のコマンド実行が実現されます。
影響を受けるシステム
LiteLLM 1.74.2~1.83.6、Starlette 0.8.3~1.0.0 とチェーン
緩和策
LiteLLM 1.83.7 以降および Starlette 1.0.1 以降にアップグレードしてください。すべてのプロバイダー API キー、マスターキー、およびデータベース認証情報をローテーションしてください。CISA 連邦救済期限: 2026-06-22