CISAは2026年6月9日、AIゲートウェイとして広く利用されているLiteLLMのコマンドインジェクション脆弱性(CVE-2026-42271、CVSS 8.7)を既知悪用脆弱性(KEV)カタログに追加しました。この脆弱性はStarlette製フレームワークの「BadHost」脆弱性(CVE-2026-48710、CVSS 6.5)と連鎖させることで、認証不要・CVSS 10.0 Criticalの完全なリモートコード実行(RCE)が可能となっており、米連邦政府機関には6月22日までの修正が義務付けられています。
The Hacker Newsによると、CVE-2026-42271はバージョン1.74.2から1.83.7未満に影響します。脆弱性の根本原因は、MCPサーバー(モデルコンテキストプロトコルサーバー)の接続テスト用エンドポイント「POST /mcp-rest/test/connection」および「POST /mcp-rest/test/tools/list」にあります。これらのエンドポイントはリクエストボディにサーバー設定全体(command・args・envフィールドを含むstdioトランスポート設定)を受け付ける構造になっており、認証済みユーザーであればホスト上で任意コマンドを実行できてしまいます。
さらに危険なのは、セキュリティ企業Horizon3.aiが実証した脆弱性連鎖です。CVE-2026-48710はStarlette(PythonのASGI Webフレームワーク)のホストヘッダー検証バイパス(BadHost)であり、これをCVE-2026-42271と組み合わせることでLiteLLMの認証機構を完全に回避できます。攻撃者はAPIキーもログイン情報も不要で、インターネット経由からLiteLLMホスト上で任意コードを実行し、接続されたAIインフラへ横展開することが可能です。Help Net Securityによれば、成功した攻撃ではモデルプロバイダーの認証情報窃取、APIキーの流出、ダウンストリームシステムへの侵害が発生し得ます。
セキュリティ研究者はX上で「CVSS 6.5のBadHostと組み合わせてCVSS 10.0になるのは典型的な脆弱性連鎖の恐ろしさ」と指摘し、即時アップデートを呼びかけています。r/netsecでは「AIゲートウェイが攻撃者にとって新たな高価値ターゲットになっている」との懸念が広がっており、LiteLLM 1.83.7へのアップグレードを急ぐよう議論されています。Hacker Newsでは「MCPサーバーの設計上、外部コマンド設定を受け付ける構造自体が問題だ」という根本的な設計批判が集中しており、AIインフラのセキュリティ設計の甘さへの問い直しが始まっています。
修正版は既にリリース済みです。CVE-2026-42271はLiteLLM v1.83.7で修正され、影響を受けるエンドポイントへのアクセスがPROXY_ADMINロールを持つユーザーのみに制限されました。CVE-2026-48710はStarlette v1.0.1で修正されています。LiteLLMを自社AIスタックに組み込んでいる組織は、両パッケージの即時アップデートが強く推奨されます。