脆弱性対応ウォッチ重大・クリティカル脆弱性のクラウド別対応まとめ
最新更新履歴CriticalHighAWSGCPAzureLinux
High CVSS 8.8 KEV 悪用確認
CVE-2026-42271

BerriAI LiteLLM コマンドインジェクション(MCP プレビュー経由の任意コマンド実行)

CVE IDCVE-2026-42271
製品BerriAI / LiteLLM (AI ゲートウェイ/プロキシ)
CVSS8.8(High)
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
種別 (CWE)CWE-78/CWE-77 OS コマンドインジェクション
登録/公開日2026/06/08
KEV 期限2026/06/22 まで(米国連邦機関向け目安)
推奨対応ベンダー指示に従い緩和策を適用(BOD 22-01 準拠)。緩和策が無ければ製品の使用を停止。
出典https://nvd.nist.gov/vuln/detail/CVE-2026-42271

概要

LLM API を OpenAI 互換形式で呼び出すプロキシ(AI ゲートウェイ)LiteLLM の 1.74.2〜1.83.7 未満に存在。MCP サーバ保存前プレビュー用の POST /mcp-rest/test/connection と POST /mcp-rest/test/tools/list が、stdio トランスポートの command/args/env を含む設定を受け付け、有効な proxy API キーがあればロールチェックなしで任意コマンドをプロキシホスト上でプロキシ権限で実行できた。低権限の internal-user キー保有者でも悪用可能。バージョン 1.83.7 で修正済み。

クラウド/OS 別の対応状況

各ベンダー公式アドバイザリで確認できた事実に基づき整理しています。確認できていない項目は「情報確認中」と明記し、存在しないパッチ番号・バージョンは記載しません。

環境対応状況対応方法・備考
AWS (ECS/EC2) パッチあり(アプリ更新)
ECS/EKS/EC2 上で稼働する LiteLLM コンテナを 1.83.7 以降へ更新
LiteLLM は利用者がデプロイするコンテナ/プロキシ。AWS 固有の修正提供は確認できず、イメージ更新が必要。
参照リンク
GCP パッチあり(アプリ更新)
GKE/Cloud Run/GCE 上の LiteLLM を 1.83.7 以降へ更新
利用者管理のコンテナ。GCP 固有パッチは確認できず。
参照リンク
Azure パッチあり(アプリ更新)
AKS/Container Apps/VM 上の LiteLLM を 1.83.7 以降へ更新
利用者管理のコンテナ。Azure 固有パッチは確認できず。
参照リンク
Linux パッチあり(アプリ更新)
pip/コンテナで導入した LiteLLM を 1.83.7 以降へ更新
OSS パッケージ。ディストリの標準パッケージではないため upstream の修正版を適用。
参照リンク

解決の方向性(パッチ/回避策/代替)

LiteLLM を 1.83.7 以降へ更新するのが確実な解決策(NVD 記載の修正版)。更新前は当該エンドポイントへのアクセスを遮断し、proxy API キーの発行範囲を絞る。コンテナ実行時は最小権限化する。

免責: 本ページは CISA KEV・NVD・各ベンダー公式アドバイザリ等の公開情報をもとにした非公式まとめです。修正バージョンや対応可否は変更される場合があります。実際の対応は必ず 出典元および各ベンダー公式情報・自環境で確認してください。

« 一覧に戻る