LiteLLM の脆弱性 CVE-2026-49468 が FIX：Host ヘッダー処理不備と管理エンドポイントの露出

Critical LiteLLM Flaw Allows Authentication Bypass via Host Header Injection

2026/06/17 CyberSecurityNews — LiteLLM に存在する、深刻なセキュリティ脆弱性 CVE-2026-49468 の情報が開示された。LiteLLM は、LLM API の管理に使用されるプロキシであり、採用例が拡大している。この脆弱性を悪用する攻撃者は、Host ヘッダーの不適切な処理を突くことで、特定の条件下における認証メカニズムのバイパスを可能にする。影響を受けるのは LiteLLM 1.84.0 より前のバージョンであり、深刻度は Critical と評価されている。

この問題は、LiteLLM プロキシが認証チェック中に実施する、リクエストのルーティングを決定する方法に起因する。この認証メカニズムが依存するのは、Starlette フレームワークにより生成される request.url.path の値であり、このフレームワークは受信 HTTP リクエストで指定された Host ヘッダーを用いてパスを再構築する。

この Host ヘッダーを操作する攻撃者は、FastAPI が実際に処理するルートとは異なるルートを、認証レイヤーに評価させることが可能となる。この不一致によりアクセス制御の回避が可能となるため、機密性の高い管理エンドポイントへの不正アクセスの可能性が生じる。

LiteLLM の脆弱性

この脆弱性は CWE-290 (Authentication Bypass by Spoofing) に分類され、CVSS v4 スコアにおいて高い評価を受けており、機密性／完全性／可用性 (CIA) に対して重大な影響を及ぼす可能性がある。

特に、この脆弱性の悪用においては、認証もユーザー操作も必要とされないため、外部に公開された環境は、きわめて危険な状況に置かれる。この攻撃ベクターは、ネットワークベースであり、複雑性も低いため、さらにリスクが高まる。

GitHub アドバイザリ GHSA-4xpc-pv4p-pm3w によると、大半の導入環境は影響を受けない。その理由は、上流インフラが Host ヘッダーを検証または正規化している場合に、この脆弱性が実質的に緩和されている点にある。

この種のインフラに含まれるものには、コンテンツ配信ネットワーク (CDN)／Web アプリケーション・ファイアウォール (WAF)／厳格な server_name 検証を行うリバース・プロキシなどに加えて、ホストベースのルーティング・ルールが設定されたクラウド・ロード・バランサーの背後で展開されるデプロイメントなどがある。

さらに、LiteLLM Cloud は、この問題の影響を受けない。Host ヘッダーの操作を防止する保護制御が、ホスト環境に組み込まれているためである。

すでに LiteLLM はバージョン 1.84.0 をリリースし、この問題に対処している。ユーザーに強く推奨されるのは、速やかなアップグレードである。また、この修正にはコンフィグ変更が不要であり、対応作業は簡素化されている。

直ちにアップグレードできない組織向けの一時的な緩和策としては、厳格な Host ヘッダー検証を適用する、信頼済みの上流コンポーネントの背後に LiteLLM プロキシを配置する方法がある。また、プロキシ・サービスへのネットワーク・アクセスを制限することで、露出を低減する方法もある。

この脆弱性は KCSC のセキュリティ研究者 Le The Thang と One Mount Group の Kim Ngoc Chung により発見された。この調査の結果が浮き彫りにするのは、クライアントが操作可能なヘッダーに依存する場合の、API フレームワークの不適切なリクエスト解析に関するリスクである。

Web アプリケーションにおいて、ルーティング・レイヤーと認証レイヤーの一貫性を確保するための、入力ヘッダーの検証の重要性が示されている。とりわけ、機密性の高い AI ワークロードを扱うアプリケーションでは、この点が重要である。

訳者後書：LiteLLM の脆弱性である CVE-2026-49468 は、認証チェック時におけるリクエストのルーティング決定方法に起因します。受信した HTTP リクエストの Host ヘッダーを使って、システムがパスを再構築する際の処理に不備がありました。そのため、外部から Host ヘッダーが操作されると、認証を行うレイヤーと実際に処理されるルートの間で認識の不一致が発生してしまいます。この不一致によって認証が回避され、管理エンドポイントが露出する原因となりました。ご利用のチームは、ご注意ください。よろしければ、LiteLLM での検索結果も、ご参照ください。