何が起きたか
LiteLLMプロキシバージョン1.84.0より前は、litellm/proxy/auth/auth_utils.pyのget_request_route()関数内の重大な認証回避(CVSS 9.5、CWE-290)を含んでいます。認可層はrequest.url.pathから有効なルートを導き出しますが、Starletteフレームワークはこれをattackerが制御可能なHTTPホストヘッダーから再構築します。細工されたホストヘッダーは認証ゲートに異なるルートを評価させ、FastAPIが発送するルートと異なるため、/key/generateおよび/user/newなどの保護されたmanagementエンドポイントへの認証されていないアクセスを付与します。Le The Thang(KCSC)およびKim Ngoc Chung(One Mount Group)により発見。1.84.0で修正されました。注記:CVE-2026-49468は以前2026年6月21日のダイジェストでフラグが立てられました。このエントリは複数の独立したソースからの完全テキストフェーズ2検証を通じて新しく確認されています。
なぜ重要か
LiteLLMは最も広く展開されているオープンソースLLM APIゲートウェイの1つであり、数十のLLMプロバイダーAPIキーの中核的なチョークポイントとして機能しています。成功した悪用により、攻撃者は完全な管理者制御を得ることができます。ダウンストリームAPIキーを盗み、新しいアクセストークンを生成し、ルーティングを再構成することができます。これはプロキシの背後にあるすべてのLLMワークロードを実質的に侵害します。インターネットに直接公開されており、アップストリームCDN/WAFなしのデプロイメントは、認証なしで完全に脆弱です。
攻撃経路
細工されたホストヘッダーを持つLiteLLMプロキシリスナーへのリモート認証不要なHTTPリクエスト。プロキシが直接公開されている場合にのみ悪用可能です(アップストリームCDN/WAF/リバースプロキシによる厳格なserver_name検証なし)。
影響を受けるシステム
LiteLLM (BerriAI) < 1.84.0
緩和策
LiteLLM ≥ 1.84.0にアップグレードしてください(pip install --upgrade 'litellm>=1.84.0')。即座のパッチ適用ができない場合は、ホストヘッダーを検証して正規化するアップストリームコンポーネント(NGINX、CDN、WAF)の背後にプロキシを配置してください。GHSA:https://github.com/advisories/GHSA-4xpc-pv4p-pm3w