何が起きたか
Obsidian Securityは2026年6月15日にAIゲートウェイブローカーであるLiteLLMの3つのCVEチェーンを開示しました。この脆弱性により、低権限ユーザーが完全な管理者権限にエスカレートし、プロキシサーバー上で任意のコードを実行できます。別のRCE(CVE-2026-42271)がMCPテストエンドポイントで数日以内に武器化され、CISAのKEVカタログに追加されました。チェーンにより応答の書き換えおよび下流エージェントの攻撃者が制御するツール呼び出しへの誘導が可能になります。
なぜ重要か
LiteLLMはAIアプリケーション用の重要なコントロールプレーンです。危殆化により、攻撃者は100以上のモデルプロバイダー(OpenAI、Anthropic、Claude、GPT-5など)の認証情報、モデルAPIキー、認証情報を復号化する保存されたシークレット、およびゲートウェイを通過するすべてのプロンプトと応答の完全な可視性にアクセスできます。攻撃者はモデル応答をリアルタイムで書き換えて、エージェント(コーディングエージェント、推論エージェント)を悪意のあるツール実行に誘導できます。
攻撃経路
LiteLLMプロキシの低権限ユーザーがワイルドカード allowed_routes を持つAPIキーをミントし、自己更新により proxy_admin に昇格させ、テストエンドポイントでMCPコマンドインジェクションを介してRCEにエスカレートします。
影響を受けるシステム
LiteLLMバージョン1.74.2から1.83.14-stable未満
緩和策
LiteLLM 1.83.14-stable 以降に更新してください。公開されたAPIキーと proxy_admin 認証情報を取り消してください。