サイバーセキュリティ研究者らは、オープンソースのLLMゲートウェイであるLiteLLMにおける重大な脆弱性が活発に悪用されていると報告しています。CVE-2026-42208として特定されたこの脆弱性により、攻撃者はゲートウェイに対してSQLインジェクション攻撃を実行できます。 ## 脆弱性の詳細 この脆弱性は、LiteLLM内のプロキシAPIキー検証ステップに存在します。LLM APIルートに特別に細工された`Authorization`ヘッダーを送信することで、認証されていない攻撃者がこの脆弱性を悪用できます。これにより、プロキシのデータベース内のデータへの読み取りおよび書き込みが可能になります。 メンテナーの[セキュリティアドバイザリ](http://github.com/BerriAI/litellm/security/advisories/GHSA-r75f-5x8p-qvmc)によると、脅威アクターはこの脆弱性を「プロキシおよびそれが管理する認証情報への不正アクセス」に利用する可能性があります。 ## 修正策 この脆弱性に対する修正は、LiteLLMバージョン1.83.7でリリースされました。このアップデートでは、文字列連結をパラメータ化クエリに置き換えることで、SQLインジェクションのリスクを効果的に軽減しています。 LiteLLMはAPIキー、仮想キーおよびマスターキー、環境/設定シークレットなどの機密データを保存するため、この脆弱性が成功裏に悪用されると、重大なセキュリティ侵害につながる可能性があります。 ## LiteLLMの概要 LiteLLMは、さまざまなAIモデルを呼び出すための統一APIを提供する、広く使用されているプロキシ/SDKミドルウェアレイヤーです。LLMアプリケーションおよびプラットフォームの開発者にとって、複数のモデルの管理を簡素化します。このプロジェクトは、GitHubで45kのスターと7.6kのフォークを持つ、かなりのコミュニティの支持を得ています[GitHub](https://github.com/BerriAI/litellm)。 注目すべきは、LiteLLMが最近、[サプライチェーン攻撃](https://www.bleepingcomputer.com/news/security/popular-litellm-pypi-package-compromised-in-teampcp-supply-chain-attack/)の標的となり、TeamPCPハッカーがPyPIパッケージを侵害し、感染したシステムから認証情報、トークン、およびシークレットを収集するための情報窃取プログラムを展開したことです。 ## 活発な悪用 Sysdigの研究者らは、CVE-2026-42208の悪用が、4月24日の脆弱性の公開から約36時間後に開始されたと報告しています。 観測された攻撃には、`/chat/completions`エンドポイントに送信された細工されたリクエストが含まれており、悪意のある`Authorization: Bearer`ヘッダーが使用されていました。これらのリクエストは、APIキー、プロバイダー認証情報（例：OpenAI、Anthropic、Bedrock）、環境データ、および設定を含む特定のテーブルを標的としていました。 Sysdigは、攻撃者がデータベース構造を明確に理解しており、機密情報を含むテーブルを直接標的にしていたと指摘しています。攻撃の第2段階では、脅威アクターは回避目的でIPアドレスをローテーションし、初期段階で得られた情報に基づいてSQLインジェクションの試みを洗練させました。 Sysdigによると、悪用タイムラインは[Marimoの最近の脆弱性](https://www.bleepingcomputer.com/news/security/critical-marimo-pre-auth-rce-flaw-now-under-active-exploitation/)ほど迅速ではありませんでしたが、攻撃は非常に標的が絞られており、具体的でした。 ## 推奨事項 セキュリティ専門家は、脆弱なバージョンを実行している公開されているLiteLLMインスタンスを潜在的に侵害されていると見なすことを強く推奨します。インターネットに公開されているLiteLLMインスタンスに保存されているすべての仮想APIキー、マスターキー、およびプロバイダー認証情報をローテーションすることが不可欠です。 LiteLLM 1.83.7以降にすぐにアップグレードできない場合は、回避策があります。`general_settings`の下で`disable_error_logs: true`を設定することで、悪意のある入力が脆弱なクエリに到達するパスをブロックできます。