何が起きたか
SecureLayer7 Lab は 3 つの CVE RCE チェーンを 2026年6月29日~30日に公開しました(記事は 2026年6月29日13:31:46 に公開、2026年6月30日に変更)。チェーンは「デフォルト内部ユーザー」と「LiteLLM ホスト上の RCE」の間のギャップを 3 つの HTTP コールを行う 1 つの Python スクリプトに折りたたみます。LiteLLM の Metasploit モジュールは SQL インジェクションと認可バイパス モジュールを含めるように更新されました。この脆弱性は、Security Boulevard による 2026年6月トップ CVE リストにもフラグが立てられました。
なぜ重要か
LiteLLM は、すべての LLM アプリケーション トラフィックをルーティングするエンタープライズ AI ゲートウェイとしてデプロイされています。LiteLLM プロキシ上の RCE は、攻撃者が上流のすべての LLM コール用のルーティング レイヤーを制御することを意味します。これにより、スケール時のプロンプト インジェクション、構成されたすべての LLM プロバイダーの認証情報盗難、レスポンス改ざん、および完全なモデル トラフィック インターセプトが可能になります。これは真の AI サプライチェーン攻撃ベクトルです。
攻撃経路
ステップ 1(CVE-2026-47101):allowed_routes: ['/*'] を使用した POST /key/generate は、デフォルト internal_user キーをワイルドカード アクセス キーにアップグレードします。ステップ 2(CVE-2026-49468):LiteLLM のプロキシ認可レイヤーのホスト ヘッダー インジェクションは管理者ロール チェックをバイパスします。ステップ 3(CVE-2026-35029):/config/update エンドポイントは管理者ロール実行を欠いており、環境変数と設定の変更による RCE を許可しています。完全なチェーンは、デフォルト権限の内部ユーザーからの 3 つの HTTP リクエストで 2 秒以内に実行されます。
影響を受けるシステム
LiteLLM プロキシ 1.84.0 より前(3 つの CVE チェーン:CVE-2026-47101、CVE-2026-49468、CVE-2026-35029)
緩和策
LiteLLM 1.84.0 以降にアップグレードしてください。SecureLayer7 勧告:https://blog.securelayer7.net/litellm-three-cve-rce-ai-supply-chain-attack