LiteLLM CVE-2026-42208 — AI ゲートウェイの SQL インジェクション
CVE-2026-42208 は、オープンソースの LLM プロキシ「LiteLLM」に存在する SQL インジェクション脆弱性である。LiteLLM は OpenAI / Anthropic / Google / Bedrock 等の API を統一的に扱う中間レイヤーとして急速に普及しており、企業の LLM ゲートウェイとしても採用例が増えている。プロキシ自体の侵害は、配下を流れる全プロンプト・全応答・全認証情報の漏えいに直結する。
概要
- 識別子:CVE-2026-42208
- 脆弱性種別:SQL インジェクション(CWE-89)
- 影響範囲:LiteLLM の admin / management API のうち、ユーザー入力を SQL クエリに連結する箇所
- 修正:LiteLLM 公式リリースノートで公開されたパッチバージョンへのアップデート
技術的な詳細
脆弱性のメカニズム
LiteLLM は内部状態(API キー、利用ログ、ユーザー情報、ルーティング設定)を PostgreSQL / SQLite に保持する。一部の管理エンドポイントで、ユーザーから受け取った識別子・フィルタ条件等を、パラメタライズドクエリではなく文字列連結で SQL に組み込んでいた箇所が存在し、認証された攻撃者(または認証バイパスと組み合わせ)がデータベース内容を抽出・改ざんできる。
攻撃ベクター
- 管理 API へのリクエストで SQL コマンドを含むパラメータを送信
litellm_verificationtoken等のテーブルから API キー・トークンを抽出- 取得した API キーで配下の OpenAI / Anthropic / Bedrock アカウントの利用枠を消費(金銭被害)or プロンプトを盗み見る
影響範囲
- LiteLLM を本番運用している全環境
- 社内 LLM ゲートウェイとして LiteLLM を採用している企業
- 個人開発のプロトタイプで LiteLLM をベースに作った API も同様の影響
推奨される技術的対応
- 即時:LiteLLM 公式最新バージョンへアップグレード
- 緩和:管理 API を社内ネットワーク限定にする。フロントに API ゲートウェイを置く
- 事後:LiteLLM 経由で利用している全 LLM プロバイダーの API キーをローテーション。利用履歴に不審なリクエストが無いか確認
非エンジニア向け — 経営・管理部門に向けた解説
何が問題か(1 分で)
自社が複数の AI サービス(ChatGPT、Claude、Gemini 等)を統一的に使うために LiteLLM というツールを採用している場合、そのツール自体に侵入できる穴があります。侵入されると、自社の AI 利用履歴(業務で投げているプロンプト=機密情報)、各 AI サービスの利用枠(金銭被害)、社員アカウント情報が漏れます。
自社への影響を判断する
- 自社が LiteLLM を社内 AI ゲートウェイとして使っているかを情シス・開発部門に確認
- 使っている場合、最新版へのアップデート状況
- 使っていない場合でも、AI 利用の中継レイヤー製品(類似製品も含む)の脆弱性管理体制を見直す契機
経営判断のポイント
- 「便利な OSS を社内で運用」する場合、その OSS の脆弱性監視責任は自社にある。ベンダー製品と同等の脆弱性管理プロセスを適用
- AI ゲートウェイは「機密情報の通り道」。同じセキュリティ要件をプロキシ・ロードバランサーと同様に適用すべき
- API キーは漏れたら金銭被害が発生する資産。クラウドサービス利用上限の設定とアラートを組織で標準化
出典・関連リンク
本記事は公開情報に基づき Omamori AI 編集部が執筆しました。
