何が起きたか
CISA は 2026 年 6 月 9 日、CVE-2026-42271 を既知の悪用済み脆弱性カタログに追加し、野生での能動的な悪用を確認しました。この脆弱性は LiteLLM の 2 つの MCP サーバー プレビュー エンドポイントに存在し、command、args、env フィールドを含む完全なサーバー構成を受け入れ、検証またはサンドボックス化なしで提供されたコマンドをサブプロセスとして実行します。LiteLLM、vLLM、および多くの FastAPI ベースの AI ツールを支える ASGI フレームワークである Starlette のホストヘッダー解析フローである CVE-2026-48710 とチェーンすることで、認証要件は完全にバイパスされ、未認証 RCE が生じます。Horizon3.ai は完全に機能する概念実証を公開しました。CISA はこのパターンを「AI ゲートウェイ インフラストラクチャへの継続的な標的化」として特性化しました。
なぜ重要か
LiteLLM はエンタープライズ AI デプロイメントの中心的なキー管理およびルーティングボトルネックです。侵害により、構成されたすべてのプロバイダー認証情報 (OpenAI、Anthropic、Azure、AWS Bedrock など)、すべてのプロンプトおよび応答データ (PII、ソースコード、貼り付けられたシークレットを含む) が公開され、さらに重要なことに、ダウンストリーム AI エージェントへの送信中にモデルレスポンスを静かに改ざんすることが可能になります。ゲートウェイレベルの侵害により、攻撃者はそれを通じてルーティングされるすべてのエージェントの操舵機構となります。CVE-2026-48710 は vLLM およびパスベースの認証を使用する Starlette ≤1.0.0 の他の ASGI アプリにも影響し、被害範囲を大幅に拡大させます。
攻撃経路
攻撃者は /mcp-rest/test/connection または /mcp-rest/test/tools/list への悪意のある stdio MCP サーバー設定 (command/args/env フィールド) を含む細工された POST を送信します。LiteLLM はホスト上でサンドボックス化なしで提供されたコマンドをサブプロセスとして実行します。CVE-2026-48710 (Starlette 'BadHost' ホストヘッダーバイパス) とチェーンすることで、認証は完全にスキップされ、ネットワークからの未認証 RCE が実現します。Horizon3.ai は完全なチェーンを実証する動作中の PoC を公開しました。
影響を受けるシステム
BerriAI LiteLLM 1.74.2 ~ 1.83.6; Starlette 0.8.3 ~ 1.0.0
緩和策
LiteLLM を ≥1.83.7 にアップグレードし、Starlette を ≥1.0.1 にアップグレードします。以前に公開された可能性があるすべてのプロバイダーキー、マスターキー、およびデータベース認証情報をローテーションします。MCP テストエンドポイントを PROXY_ADMIN ロールに制限します。CISA KEV 連邦期限は 2026 年 6 月 22 日でした。