何が起きたか
Obsidian Security は、2026年6月11日に LiteLLM における CVSS 9.9 の3つの脆弱性チェーンを開示し、2026年2月に BerriAI に責任を持って報告され、v1.83.14-stable で完全にパッチされた。CVE-2026-47101 により、任意の内部ユーザーがワイルドカードルートアクセス権を持つ API キーを生成できる;CVE-2026-47102 により、保護されていない user_role フィールド経由で proxy_admin に自己昇格できる;CVE-2026-40217 により、Custom Code Guardrail のサンドボックス化されていない exec() 呼び出しを通じて RCE が可能になる。さらに、Obsidian は新しい応答インジェクション攻撃を実証した:侵害されたプロキシは、ビルトインコールバックを使用して転送中のモデル応答を静かに書き換え、モデルに到達しない悪意のあるツール呼び出しを注入し、プロンプトインジェクション防御を完全に回避できる。
なぜ重要か
このチェーンは、長い間パッシブなミドルウェアとして扱われてきた AI ゲートウェイが、現在ではファーストクラスの攻撃対象であることを示している。認証情報窃取を超えて、応答インジェクション技術は質的に新しい:それは LLM を操作するのではなく、モデルとエージェント間のワイヤーを傍受し、ゲートウェイをエージェントハイジャッキングデバイスに変換する。侵害された LiteLLM プロキシを経由するすべてのエージェントは静かにリダイレクトできる。影響範囲には、すべての下流 AI エージェントワークフロー、AI 支援コードレビューを使用する CI/CD パイプライン、および MCP 接続ツールが含まれる。
攻撃経路
デフォルトの低権限 internal_user アカウントからの3ステップチェーン:(1) CVE-2026-47101 — allowed_routes:["/*"] を持つ API キーを作成してルートレベルの RBAC をバイパスする;(2) CVE-2026-47102 — /user/update に user_role:"proxy_admin" を POST して管理者に自己昇格する;(3) CVE-2026-40217 — Custom Code Guardrail exec() エンドポイント(builtins フィルタリングなし)を使用してリバースシェルをポップする。Obsidian はまた、侵害されたプロキシを経由してルーティングされた Claude Code に対する応答インジェクションを実証した — 単一の 'hello' プロンプトから開発者マシン上でリバースシェルを配信した悪意のあるツール呼び出しを注入。
影響を受けるシステム
BerriAI LiteLLM < 1.83.14-stable (CVE-2026-47101, CVE-2026-47102, CVE-2026-40217)
緩和策
LiteLLM ≥1.83.14-stable にアップグレード(3つの CVE すべてがパッチされている)。Obsidian Security により2026年6月11日に公開;2026年2月に BerriAI に報告された。