何が起きたか
Obsidian Security は 2026 年 6 月 15 日に、結合 CVSS 9.9 を持つ LiteLLM における 4 つの脆弱性チェーンを開示しました。このチェーンにより、低権限ユーザーが完全な管理者権限にエスカレートし、リモートコード実行を達成できます。別の 5 番目の脆弱性 (CVE-2026-42271、MCP コマンドインジェクション) は、2026 年 6 月に CISA の Known Exploited Vulnerabilities カタログに追加され、6 月 22 日の修復期限が示されており、積極的な悪用を示しています。
なぜ重要か
LiteLLM は、組織のアプリケーションと複数の LLM プロバイダー間でリクエストをルーティングする重要な AI インフラストラクチャコンポーネントです。これはアップストリームプロバイダー認証情報を保持し、仮想 API キーを発行し、すべてのプロンプトとレスポンスをログし、ガードレイルを実行し、エージェントトラフィックをプロキシします。LiteLLM の侵害により、攻撃者は組織内のすべての AI インタラクションへのアクセスを取得し、Claude Code レスポンスをトランジット中に静かに変更する機能を含みます (バックドア挿入、セキュリティチェック削除、データ流出)。パッチは開示の 6 週間前に利用可能でしたが、パッチされていないインスタンスは依然として悪用可能です。
攻撃経路
ステップ 1 (CVE-2026-47101): 認証済みの低権限ユーザーが無制限の `allowed_routes` ワイルドカードで仮想 API キーを作成/更新し、ルート認可チェックをバイパスします。ステップ 2 (CVE-2026-47102): 攻撃者が `/user/update` エンドポイントに到達し、自身を `proxy_admin` ロールに昇格させます。ステップ 3 (CVE-2026-40217): 管理者パネルコールバック構成フィールドが、フィルタリングされていない `exec()` 経由で実行される Python コードを受け入れ、任意のコード実行を許可します。ステップ 4 (CVE-2026-42271、別個): テストエンドポイントの MCP コマンドインジェクションにより、攻撃者は LiteLLM プロセスとして任意のホストコマンドを生成でき、Claude Code および他のダウンストリームエージェントのレスポンス乗っ取りを可能にします。
影響を受けるシステム
LiteLLM < 1.83.14-stable (パッチは 2026 年 5 月 2 日から利用可能)
緩和策
すぐに LiteLLM 1.83.14-stable 以降にアップグレードし、すべてのプロバイダー API キー (OpenAI、Anthropic、Azure、AWS Bedrock) をローテーションし、すべての proxy_admin アカウントを監査し、未使用の場合は Custom Code Guardrails を無効にし、ネットワーク境界で MCP REST テストエンドポイントをブロックします