LiteLLM Vulnerability Allows Attackers to Execute Arbitrary Commands on Servers
2026/06/09 gbhackers — LiteLLM に影響を及ぼす深刻な脆弱性チェーンが特定され、未認証でのリモートコード実行 (RCE) が可能となることが明らかとなった。2026年5月に修正された LiteLLM の脆弱性 CVE-2026-42271 が、Starlette フレームワークの脆弱性 CVE-2026-48710 と連鎖すると、認証制御のバイパスと任意のシステム・コマンド実行が可能になる。それにより、LiteLLM デプロイメントに依存する AI インフラに、深刻なリスクが生じている。
LiteLLM 脆弱性
脆弱性 CVE-2026-42271 は、LiteLLM の MCP (Model Context Protocol) サーバのテスト・エンドポイント “/mcp-rest/test/connection” および “/mcp-rest/test/tools/list” に存在するコマンド・インジェクションの欠陥である。
これらのエンドポイントは、実行コマンド/引数/環境変数などを含む、完全なサーバ・コンフィグを受け付けるように設計されており、stdio ベースのトランスポートに使用される。
それらを呼び出す LiteLLM は、一連のコマンドをホスト上でサブプロセスとして実行する。初期評価では、これらのエンドポイントへのアクセスにおいては、有効な proxy API キーが必要であるため、リスクは低いと考えられていた。
しかし、Starlette フレームワークに存在する CVE-2026-48710 と組み合わせることで、この保護が完全に回避可能であることが、Horizon3.ai の研究者により確認された。
この Starlette の脆弱性は、Host ヘッダ検証の不備に起因するものであり、”BadHost” バイパスと呼ばれている。Starlette バージョン 1.0.0 以下に影響を及ぼす脆弱性であり、Host ヘッダを操作する攻撃者に悪用されると、認証メカニズムの回避が可能となる。
LiteLLM が脆弱な Starlette バージョンに依存しているケースにおいて、この弱点を突く攻撃者は認証を必要とせずに、MCP テスト・エンドポイントに到達可能となる。
このチェーン攻撃により、LiteLLM proxy プロセスの権限で、その他の認証を必要としない任意のリモート・コマンド実行が可能になる。この攻撃が成功すると、モデルプロバイダの認証情報/API キー/環境変数に保存された高機密性の情報が漏洩する可能性がある。
さらに、侵害されたインスタンスは、他の AI システムへ向けたラテラル・ムーブメントの踏み台として利用されるため、ゲートウェイに接続された下流サービスにも影響が及ぶ可能性がある。
セキュリティ研究者は、この脆弱性チェーンに対して CVSS スコア 10.0 を割り当て、深刻度 Critical に分類している。影響を受ける LiteLLM のバージョンは 1.74.2 〜 1.83.6 であり、特に Starlette が 1.0.0 以下の環境での影響が顕著となる。
侵害の兆候
| Indicator | Type | Description |
| Unexpected subprocess execution | Behavioral | Commands spawned through LiteLLM MCP test endpoints |
| Requests to /mcp-rest/test/connection | HTTP Activity | Suspicious use of testing functionality |
| Requests to /mcp-rest/test/tools/list | HTTP Activity | Potential exploitation attempts |
| Unusual Host header values | Network Indicator | Potential abuse of CVE-2026-48710 authentication bypass |
| Unauthorized command execution | Host Activity | Evidence of successful exploitation and host compromise |
ユーザーに対して強く推奨されるのは、LiteLLM のバージョン 1.83.7 以降へと速やかにアップグレードし、Starlette に関してはバージョン 1.0.1 以降へアップデートすることだ。
迅速なパッチ適用が困難な場合に、管理者にとって必要なことは、MCP テスト・エンドポイントへのアクセス制限/ネットワーク・セグメンテーションの強化/機密認証情報のローテーション/不審活動の検知をログ監査により実施することだ。
この脆弱性は段階的に開示されている。脆弱性 CVE-2026-42271 は 2026年4月に報告され、5月にパッチが公開された。同月に Starlette の BadHost 問題が公開され、2026年6月に Horizon3.ai が未認証エクスプロイト・チェーンを確認した。
この事案が示すのは、AI インフラにおけるセキュリティ・リスクの増大と、アプリケーション・ロジックとフレームワーク依存関係の保護の重要性である。
訳者後書:LiteLLM のコマンド・インジェクションの脆弱性 CVE-2026-42271 と、Starlette フレームワークの Host ヘッダ検証不備の脆弱性 CVE-2026-48710 が連鎖することで、認証が回避され、root 権限での任意のシステム・コマンド実行に至る可能性があります。この 2つの脆弱性は、どちらも 2026年5月に修正されていますが、6月に入ってから、この攻撃チェーンが特定されました。ご利用のチームは、ご注意ください。よろしければ、2026/05/27 の「BadHost と呼ばれる脆弱性 CVE-2026-48710:FastAPI/Starlette ベースの AI サービスに深刻な影響」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.