| CVE ID | CVE-2026-42271 |
|---|---|
| 製品 | BerriAI / LiteLLM (AI ゲートウェイ/プロキシ) |
| CVSS | 8.8(High) CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| 種別 (CWE) | CWE-78/CWE-77 OS コマンドインジェクション |
| 登録/公開日 | 2026/06/08 |
| KEV 期限 | 2026/06/22 まで(米国連邦機関向け目安) |
| 推奨対応 | ベンダー指示に従い緩和策を適用(BOD 22-01 準拠)。緩和策が無ければ製品の使用を停止。 |
| 出典 | https://nvd.nist.gov/vuln/detail/CVE-2026-42271 |
LLM API を OpenAI 互換形式で呼び出すプロキシ(AI ゲートウェイ)LiteLLM の 1.74.2〜1.83.7 未満に存在。MCP サーバ保存前プレビュー用の POST /mcp-rest/test/connection と POST /mcp-rest/test/tools/list が、stdio トランスポートの command/args/env を含む設定を受け付け、有効な proxy API キーがあればロールチェックなしで任意コマンドをプロキシホスト上でプロキシ権限で実行できた。低権限の internal-user キー保有者でも悪用可能。バージョン 1.83.7 で修正済み。
各ベンダー公式アドバイザリで確認できた事実に基づき整理しています。確認できていない項目は「情報確認中」と明記し、存在しないパッチ番号・バージョンは記載しません。
| 環境 | 対応状況 | 対応方法・備考 |
|---|---|---|
| AWS (ECS/EC2) | パッチあり(アプリ更新) |
ECS/EKS/EC2 上で稼働する LiteLLM コンテナを 1.83.7 以降へ更新
LiteLLM は利用者がデプロイするコンテナ/プロキシ。AWS 固有の修正提供は確認できず、イメージ更新が必要。
参照リンク
|
| GCP | パッチあり(アプリ更新) |
GKE/Cloud Run/GCE 上の LiteLLM を 1.83.7 以降へ更新
利用者管理のコンテナ。GCP 固有パッチは確認できず。
参照リンク
|
| Azure | パッチあり(アプリ更新) |
AKS/Container Apps/VM 上の LiteLLM を 1.83.7 以降へ更新
利用者管理のコンテナ。Azure 固有パッチは確認できず。
参照リンク
|
| Linux | パッチあり(アプリ更新) |
pip/コンテナで導入した LiteLLM を 1.83.7 以降へ更新
OSS パッケージ。ディストリの標準パッケージではないため upstream の修正版を適用。
参照リンク
|
LiteLLM を 1.83.7 以降へ更新するのが確実な解決策(NVD 記載の修正版)。更新前は当該エンドポイントへのアクセスを遮断し、proxy API キーの発行範囲を絞る。コンテナ実行時は最小権限化する。