脆弱性  ·  2026-07-02

LiteLLM AI ゲートウェイ — 3 つの CVE RCE チェーン:デフォルト内部ユーザーが管理者にエスカレートして任意のコードを実行可能

脆弱性High 影響度Global
SecureLayer7 Lab は 3 つの CVE RCE チェーンを 2026年6月29日~30日に公開しました(記事は 2026年6月29日13:31:46 に公開、2026年6月30日に変更)。チェーンは「デフォルト内部ユーザー」と「LiteLLM ホスト上の RCE」の間のギャップを 3 つの HTTP コールを行う 1 つの Python スクリプトに折りたたみます。LiteLLM の Metasploit モジュールは SQL インジェクションと認可バイパス モジュールを含めるように更新されました。この脆弱性は、Security Boulevard による 2026年6月トップ CVE リストにもフラグが立てられました。
LiteLLM は、すべての LLM アプリケーション トラフィックをルーティングするエンタープライズ AI ゲートウェイとしてデプロイされています。LiteLLM プロキシ上の RCE は、攻撃者が上流のすべての LLM コール用のルーティング レイヤーを制御することを意味します。これにより、スケール時のプロンプト インジェクション、構成されたすべての LLM プロバイダーの認証情報盗難、レスポンス改ざん、および完全なモデル トラフィック インターセプトが可能になります。これは真の AI サプライチェーン攻撃ベクトルです。
ステップ 1(CVE-2026-47101):allowed_routes: ['/*'] を使用した POST /key/generate は、デフォルト internal_user キーをワイルドカード アクセス キーにアップグレードします。ステップ 2(CVE-2026-49468):LiteLLM のプロキシ認可レイヤーのホスト ヘッダー インジェクションは管理者ロール チェックをバイパスします。ステップ 3(CVE-2026-35029):/config/update エンドポイントは管理者ロール実行を欠いており、環境変数と設定の変更による RCE を許可しています。完全なチェーンは、デフォルト権限の内部ユーザーからの 3 つの HTTP リクエストで 2 秒以内に実行されます。
LiteLLM プロキシ 1.84.0 より前(3 つの CVE チェーン:CVE-2026-47101、CVE-2026-49468、CVE-2026-35029)
LiteLLM 1.84.0 以降にアップグレードしてください。SecureLayer7 勧告:https://blog.securelayer7.net/litellm-three-cve-rce-ai-supply-chain-attack
出典
SecureLayer7 Lab — LiteLLM RCE Chain: Three CVEs Enable AI Supply Chain AttackSecurity Boulevard — Top CVEs of June 2026
ライブフィードで見る AIセキュリティとガバナンスの関連情報をさらに見る — 毎朝更新。
フィードを開く →