脆弱性  ·  2026-07-14

Helicone AI Gateway SSRF via AWS Metadata Service Path Handling

脆弱性Medium 影響度GlobalCVE-2026-15508
LLM可視性/ルーティングゲートウェイであるHeliconeのai-gatewayには、AWS Metadata Serviceディスパッチャコンポーネントの複数のSSRF脆弱性が含まれており、リモート攻撃者がextracted_path_and_query引数を操作して内部エンドポイントに到達できます。実装可能なエクスプロイトが発表されています。
HeliconeなどのAIゲートウェイは、LLMトラフィックの前の特権ネットワーク位置に位置し、多くの場合IAMロールが接続されたクラウドコンピュートと一緒にあります。クラウドメタデータサービスに対するSSRFは、インスタンスロール認証情報盗難への既知のパスであり、AI インフラストラクチャをホストするより広いクラウド環境へのピボットに使用される可能性があります。
ai-gateway/src/dispatcher/service.rs(AWS Metadata Serviceコンポーネント)のbuild_target_url関数は、extracted_path_and_query引数を適切に検証できず、リモート攻撃者がリクエストルーティングを操作してAWSインスタンスメタデータサービスまたは他の内部/意図されていないエンドポイント(SSRF)に到達できます。
Helicone ai-gateway up to 0.2.0-beta.30
開示時点で確認されたベンダーパッチはありません。ベンダーは早期開示に応答しませんでした。ai-gatewayホストからのアウトバウンドネットワークアクセスを制限し、ネットワークレイヤーでクラウドメタデータエンドポイント(169.254.169.254)へのアクセスを無効にする/フィルタリングすることを補賠制御として推奨します。
NVD - CVE-2026-15508GitHub - CVE-Submit disclosure
ライブフィードで見る AIセキュリティとガバナンスの関連情報をさらに見る — 毎朝更新。
フィードを開く →