Trusted Design

CVE-2026-42271 の詳細

CVEの情報

説明:
LiteLLM is a proxy server (AI Gateway) to call LLM APIs in OpenAI (or native) format. From version 1.74.2 to before version 1.83.7, two endpoints used to preview an MCP server before saving it — POST /mcp-rest/test/connection and POST /mcp-rest/test/tools/list — accepted a full server configuration in the request body, including the command, args, and env fields used by the stdio transport. When called with a stdio configuration, the endpoints attempted to connect, which spawned the supplied command as a subprocess on the proxy host with the privileges of the proxy process. The endpoints were gated only by a valid proxy API key, with no role check. Any authenticated user — including holders of low-privilege internal-user keys — could therefore run arbitrary commands on the host. This issue has been patched in version 1.83.7.

CVE更新日: 2026-05-08 04:16:21.820000

CVSSバージョン: 4.0

CVSSスコア: 8.7

KEVの情報

KEV更新日: 2026-06-08

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.801880000

EPSS更新日: 2026-07-18 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: low

Automatable: False

AIを使った解説

解説:

1. 脆弱性の概要

CVE-2026-42271 は BerriAI LiteLLM(AI Gateway / LLM プロキシ) に存在する認証済みユーザーによる任意コマンド実行(Command Injection) の脆弱性。 LiteLLM の MCP(Model Context Protocol)サーバー設定をプレビューするための 2 つのエンドポイント:

  • POST /mcp-rest/test/connection
  • POST /mcp-rest/test/tools/list

が、リクエストボディに含まれる command / args / env をそのまま サブプロセスとして実行してしまう。 これらのエンドポイントは API キーの有効性のみをチェックし、ロール(権限)チェックが欠落していたため、 低権限 internal-user キーでも任意コマンド実行が可能となる。

1.1 影響

  • 認証済みユーザーによる任意コマンド実行(RCE)
  • LiteLLM プロキシプロセスの権限で OS 上のコマンドが実行される
  • 機密性・完全性・可用性すべてが侵害され得る
    (API キー窃取、横移動、AI インフラ全体の侵害など)

1.2 深刻度

  • CVSS v3.1:8.7(High)
  • CISA Known Exploited Vulnerabilities(KEV)登録済み(=実際に悪用確認)

2. 対象となる環境

2.1 影響を受ける製品・バージョン

  • BerriAI LiteLLM
    1.74.2 以上 1.83.7 未満 が影響

2.2 影響を受ける設定

  • LiteLLM の MCP プレビュー用エンドポイントが有効
  • API キー認証のみで利用可能な構成(ロールチェックなし)
  • Starlette ≤ 1.0.0 を依存に含む場合、後述の BadHost(CVE-2026-48710)と連鎖し 無認証 RCE に発展

3. 影響を受けた時の兆候(IoC)

公開情報に明確な IoC 記載はなし。
ただし、脆弱性の性質から以下が発生し得る(事実ベースの挙動):

  • LiteLLM ホスト上で 不審なサブプロセス起動
  • MCP プレビューエンドポイントへの不審な POST リクエスト
  • API キーを用いた低権限ユーザーによる異常な操作

(※特定の IoC は公開されていない)

4. 推奨対策

4.1 本対策(恒久対策)

  • LiteLLM を 1.83.7 以降へアップデート
    → 該当エンドポイントに PROXY_ADMIN ロール必須化 により修正済み

  • Starlette を 1.0.1 以降へアップデート
    → BadHost(CVE-2026-48710)による認証バイパスを防止
    → 連鎖攻撃による 無認証 RCE(CVSS 10.0) を阻止

4.2 暫定回避策(緩和策)

ベンダー公式ワークアラウンドは未提供(事実)。
ただし、公開情報に基づく有効な緩和策:

  • 以下の 2 エンドポイントをリバースプロキシ等でブロック

    • POST /mcp-rest/test/connection
    • POST /mcp-rest/test/tools/list
  • インターネット公開している場合は 外部到達経路を遮断

  • 保存済み API キー・認証情報のローテーション
  • 不審な Host ヘッダーやサブプロセス起動の監視

5. その他補足すべき観点

5.1 悪用状況

  • 実環境での悪用が確認されている
    CISA KEV に登録済み

5.2 連鎖攻撃(重要)

  • CVE-2026-42271(認証済み RCE) +
  • CVE-2026-48710(Starlette Host ヘッダー検証バイパス)
    → 無認証 RCE(CVSS 10.0) に発展

NVDサイト

NVDでCVEの詳細を見る

戻る