Critical LiteLLM Flaw Enables Database Attacks Through SQL Injection
2026/04/28 gbhackers — 人気の LiteLLM ゲートウェイにおいて発見された、深刻な認証前の SQL インジェクション脆弱性 CVE-2026-42208 の悪用が、すでに実環境で確認されている。この脆弱性を悪用する攻撃者は、認証なしでデータベースへのアクセスを達成し、API キー/シークレットなどの高価値の情報を標的にしている。
脆弱性の概要
OpenAI/Anthropic などの大規模言語モデル (LLM) と、アプリケーションを接続する、オープンソース・プロキシ LiteLLM に、深刻な脆弱性 CVE-2026-42208 が発見された。
この脆弱性は、認証処理において Authorization: Bearer ヘッダーを適切にパラメータ化できない点に起因する。その結果、LiteLLM プロキシ・ポートへ到達可能な未認証の攻撃者は、バックエンド・データベースに対して任意の SQL クエリを実行できる。
Sysdig によると、このセキュリティ・アドバイザリは、2026年4月20日に LiteLLM リポジトリで公開された。その後に、グローバル・データベースへ登録されたが、公開直後から攻撃者たちは汎用スキャナーに依存せずに、独自のカスタム・ペイロードを迅速に開発している。この一連の動向が示すのは、中央集約型 AI インフラ侵害に対する攻撃者の関心の増大である。
悪用と攻撃戦略
脆弱性の公開から 36時間を待たずに、最初の悪用試行が検出されている。その攻撃手法は、単なる自動化された SQL インジェクションではなく、LiteLLM の内部データベース構造に関する事前知識を前提とした、高度に標的化されたものであった。
攻撃者は、カラム・カウント・エニュメレーションを用いて、体系的にカラム数を列挙することで、効率的なデータ抽出を実施している。それと同時に、IP アドレスをローテーションして検知回避を図るなど、きわめて巧妙な動きを見せている。
高コスト・サービスの中核である、AI ゲートウェイに侵害が生じると、クラウド・レベル資格情報の抽出経路の確立が懸念される。データベース抽出に成功した攻撃者により、深刻な運用侵害が引き起こされる可能性が高い。
対象テーブルと攻撃の狙い
対策
影響バージョンを使用している管理者は、直ちに LiteLLM 1.83.7 へと更新する必要がある。このバージョンにおいて、パラメータ化クエリが実装されたことで、脆弱性 CVE-2026-42208 が修正されている。なお、インターネットに公開されている脆弱なバージョンのインスタンスについては、侵害済みであるとみなした上で、すべてのシークレットを即時ローテーションする必要がある。
防御側にとって必要なことは、脅威インテリジェンス・フィードの継続的な監視である。標準的な脆弱性カタログのみに依存すると、深刻な対応遅延を招くリスクがある。
訳者後書:LiteLLM の脆弱性 CVE-2026-42208 は、外部からの入力を、プログラムが適切に処理できないことに起因します。具体的には、認証で使用する情報をデータベースへの命令の一部として正しく扱えず、攻撃者に対して、データベースの自由な操作を許す、SQL インジェクションを招いてしまいます。ご利用のチームは、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.