CVE-2026-42271 の詳細
CVEの情報
説明:
LiteLLM is a proxy server (AI Gateway) to call LLM APIs in OpenAI (or native) format. From version 1.74.2 to before version 1.83.7, two endpoints used to preview an MCP server before saving it — POST /mcp-rest/test/connection and POST /mcp-rest/test/tools/list — accepted a full server configuration in the request body, including the command, args, and env fields used by the stdio transport. When called with a stdio configuration, the endpoints attempted to connect, which spawned the supplied command as a subprocess on the proxy host with the privileges of the proxy process. The endpoints were gated only by a valid proxy API key, with no role check. Any authenticated user — including holders of low-privilege internal-user keys — could therefore run arbitrary commands on the host. This issue has been patched in version 1.83.7.
CVE更新日: 2026-05-08 04:16:21.820000
CVSSバージョン: 4.0
CVSSスコア: 8.7
KEVの情報
KEV更新日: 2026-06-08
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.801880000
EPSS更新日: 2026-07-18 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: low
Automatable: False
1. 脆弱性の概要
CVE-2026-42271 は BerriAI LiteLLM(AI Gateway / LLM プロキシ) に存在する認証済みユーザーによる任意コマンド実行(Command Injection) の脆弱性。 LiteLLM の MCP(Model Context Protocol)サーバー設定をプレビューするための 2 つのエンドポイント:
POST /mcp-rest/test/connectionPOST /mcp-rest/test/tools/listが、リクエストボディに含まれる command / args / env をそのまま サブプロセスとして実行してしまう。 これらのエンドポイントは API キーの有効性のみをチェックし、ロール(権限)チェックが欠落していたため、 低権限 internal-user キーでも任意コマンド実行が可能となる。
1.1 影響
(API キー窃取、横移動、AI インフラ全体の侵害など)
1.2 深刻度
2. 対象となる環境
2.1 影響を受ける製品・バージョン
1.74.2 以上 1.83.7 未満 が影響
2.2 影響を受ける設定
3. 影響を受けた時の兆候(IoC)
公開情報に明確な IoC 記載はなし。
ただし、脆弱性の性質から以下が発生し得る(事実ベースの挙動):
(※特定の IoC は公開されていない)
4. 推奨対策
4.1 本対策(恒久対策)
LiteLLM を 1.83.7 以降へアップデート
→ 該当エンドポイントに PROXY_ADMIN ロール必須化 により修正済み
Starlette を 1.0.1 以降へアップデート
→ BadHost(CVE-2026-48710)による認証バイパスを防止
→ 連鎖攻撃による 無認証 RCE(CVSS 10.0) を阻止
4.2 暫定回避策(緩和策)
ベンダー公式ワークアラウンドは未提供(事実)。
ただし、公開情報に基づく有効な緩和策:
以下の 2 エンドポイントをリバースプロキシ等でブロック
POST /mcp-rest/test/connectionPOST /mcp-rest/test/tools/listインターネット公開している場合は 外部到達経路を遮断
5. その他補足すべき観点
5.1 悪用状況
CISA KEV に登録済み
5.2 連鎖攻撃(重要)
→ 無認証 RCE(CVSS 10.0) に発展