LiteLLM(LLMプロキシ)にSQLインジェクション(CVE-2026-42208)— プロキシのDBと管理する認証情報が危険に
多数のLLMプロバイダを束ねるオープンソースのLLMプロキシ/ゲートウェイ「BerriAI LiteLLM」にSQLインジェクションの脆弱性。攻撃者がプロキシのデータベースを読み取り・改変でき、プロキシ自体と、そこが管理する認証情報(APIキー等)への不正アクセスにつながる。CISAは悪用確認済み(KEV)として掲載(CVSS 9.8 Critical)。
脆弱性の基本情報
- CVE番号CVE-2026-42208
- CVSS基本値9.8 CRITICAL
- CVSSベクタCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- 対象(ベンダー/製品)BerriAI LiteLLM
- CWECWE-89
- 悪用状況CISA KEV 掲載(実際の悪用を確認)
- 是正期限2026-05-11(米連邦民生機関・BOD 22-01)
要点
CVE-2026-42208は、BerriAI LiteLLM(複数のLLMプロバイダへのアクセスを単一のインターフェースに束ねる、人気のオープンソースLLMプロキシ/ゲートウェイ)に存在するSQLインジェクション(CWE-89)の脆弱性だ。CISAのKEVカタログに2026年5月8日付で追加された。
NVDの説明によれば、攻撃者はこの脆弱性を悪用してプロキシのデータベースからデータを読み取り、場合によっては改変できる。これがとりわけ深刻なのは、LiteLLMのようなLLMプロキシが「鍵束」を握っているためだ。プロキシは多数のLLMプロバイダ(OpenAIや各社のAPI等)への接続情報やAPIキー、利用者のトークンを一元的に管理する。そのデータベースが侵害されれば、プロキシ経由でアクセスできるすべてのLLMサービスの認証情報が一度に危険にさらされうる。
Langflow(CVE-2025-34291)と同様、本件もAIインフラ(LLMの実行・中継基盤)を狙う脆弱性であり、AIを支えるソフトウェアが攻撃対象として現実に悪用されていることを示す。
【対応の要点】ベンダー公式の指示に従って緩和策・修正を適用する。クラウドで利用している場合はBOD 22-01の手順に準拠し、緩和策がなければ使用中止も検討する。LiteLLMが管理するAPIキー・トークンは漏えい前提でローテーション(失効・再発行)するのが安全だ。連邦民生機関の是正期限は2026年5月11日。
なぜ重要か
LLMゲートウェイの侵害が「管理下の全AI認証情報の露出」につながりうる事例。LLMプロキシ/ゲートウェイを運用する組織は、修正適用に加え、APIキー・トークンのローテーションとアクセスログ点検が要点。AIインフラの鍵管理を見直す契機になる。
よくある質問(FAQ)
LiteLLMとは何ですか?
なぜ認証情報まで危険なのですか?
何をすべきですか?
出典(一次情報)
本記事は下記の米国公式データに基づく独自整理です。正確・最新の内容、適用可否は必ず公式・ベンダーでご確認ください。
- CISA KEV Catalog(悪用確認済み一覧)
- NVD(CVE詳細・CVSS)
- ベンダー/参考アドバイザリ
- This product uses data from the NVD API but is not endorsed or certified by the NVD. KEV データは CC0(パブリックドメイン)です。