LiteLLM(LLMプロキシ)にコマンドインジェクション(CVE-2026-42271)— 低権限ユーザでもホスト上で任意コマンド実行
多数のLLMプロバイダを束ねるオープンソースのLLMプロキシ「BerriAI LiteLLM」に、コマンドインジェクションの脆弱性。低権限の内部ユーザ鍵を持つ者を含め、認証済みの任意のユーザがホスト上で任意のコマンドを実行できる。CISAは悪用確認済み(KEV)として掲載(CVSS 8.8 High)。
脆弱性の基本情報
- CVE番号CVE-2026-42271
- CVSS基本値8.8 HIGH
- CVSSベクタCVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
- 対象(ベンダー/製品)BerriAI LiteLLM
- CWECWE-78, CWE-77
- 悪用状況CISA KEV 掲載(実際の悪用を確認)
- 是正期限2026-06-22(米連邦民生機関・BOD 22-01)
要点
CVE-2026-42271は、BerriAI LiteLLM(複数のLLMプロバイダへのアクセスを単一のインターフェースに束ねる、人気のオープンソースLLMプロキシ/ゲートウェイ)に存在するコマンドインジェクション(CWE-78:OSコマンドの不適切な無害化/CWE-77:コマンドインジェクション)の脆弱性だ。CISAのKEVカタログに2026年6月8日付で追加された。
NVDの説明によれば、低権限の内部ユーザ鍵の保持者を含め、認証済みの任意のユーザが、LiteLLMを動かすホスト上で任意のコマンドを実行できる。「認証済み」が前提とはいえ、LiteLLMのようなプロキシは多くの利用者に鍵を配って共用されることが多く、低権限の鍵でもホストを乗っ取れる点は深刻だ。ホストでの任意コマンド実行は、プロキシが管理する各LLMプロバイダのAPIキーやトークンの窃取、さらなる侵入の足がかりにつながりうる。
本件は、本サイトで既に扱ったLiteLLMのSQLインジェクション(CVE-2026-42208)に続く、AIインフラ(LLMの実行・中継基盤)を狙う脆弱性だ。AIを支えるソフトウェアが繰り返し攻撃対象として悪用されていることを示す。
【対応の要点】ベンダー公式の指示に従って修正・緩和策を適用する。クラウド利用時はBOD 22-01に準拠し、緩和策がなければ使用中止も検討する。LiteLLMが管理するAPIキー・トークンは漏えい前提でローテーション(失効・再発行)し、内部ユーザ鍵の権限・配布も見直すのが安全だ。連邦民生機関の是正期限は2026年6月22日。
なぜ重要か
LLMゲートウェイのホスト乗っ取りが、管理下の全AI認証情報の露出につながりうる事例。LiteLLM等のLLMプロキシを運用する組織は、修正適用に加え、APIキー/トークンのローテーションと内部ユーザ鍵の権限管理が要点。AIインフラの鍵・権限設計を見直す契機になる。
よくある質問(FAQ)
コマンドインジェクションとは?
「認証済みなら安全」ではないのですか?
何をすべきですか?
出典(一次情報)
本記事は下記の米国公式データに基づく独自整理です。正確・最新の内容、適用可否は必ず公式・ベンダーでご確認ください。
- CISA KEV Catalog(悪用確認済み一覧)
- NVD(CVE詳細・CVSS)
- ベンダー/参考アドバイザリ
- This product uses data from the NVD API but is not endorsed or certified by the NVD. KEV データは CC0(パブリックドメイン)です。