← 戻る
AI/ML
CVE-2026-42208 CISA KEV critical CVSS 9.8

【KEV】Berriai litellm に SQLインジェクション (CVE-2026-42208)

概要

Berriai litellm に SQLインジェクション (CVE-2026-42208) が存在。悪用されるとシステム全体を乗っ取られる可能性があります。`POST /chat/completions` 経由で攻撃可能。CISA KEV登録済 — 実環境で悪用が確認されている。対策: `>=1.83.7` 以上に更新。

AI要約 openai / gpt-4o

BerriAI LiteLLMというシステムで、データベースへの不正なアクセスが可能になる問題が見つかりました。これにより、外部から重要な情報を盗み取られる危険性があります。この問題は、特にAPIのキー確認時に発生しますので、システムの更新が重要です。すぐに更新できない場合は、一時的な対策として設定を変更することでリスクを減らすことが可能です。
BerriAI LiteLLMにはSQLインジェクションの影響を受ける脆弱なエンドポイントがあり、`POST /chat/completions`のAPIキー確認時に`Authorization`ヘッダが使用されます。これにより攻撃者はプロキシのデータベースを読み取ったり変更したりできます。この脆弱性は、バージョン`1.81.16`から`<1.83.7`に存在し、バージョン`1.83.7`で修正されました。回避策としては、`general_settings`内で`disable_error_logs: true`を設定する方法があります。CVSSスコア9.8により、リモートから攻撃可能であり、ユーザーの操作は不要です。この脆弱性はTencent YunDing Security Labによって発見されました。
❓ 何が問題か
Berriai litellm に **SQLインジェクション** (CWE-89) があります。攻撃者は `POST /chat/completions` を経由して脆弱な処理に到達し、認証なしで悪用できます。
📍 影響範囲
Berriai litellm のうち 影響範囲: `>=1.81.16, <1.83.7`。攻撃箇所: POST /chat/completions / POST /team/permissions_bulk_update / `Authorization` / `general_settings`。
🔥 重要度
重要度: 最重要 (CVSS 9.8/10)。悪用されるとシステム全体を乗っ取られる可能性があります **CISA KEV登録済** — 既に実環境で悪用が確認されているため最優先で対応すること。
🔧 修正方法
**>=1.83.7** に更新してください。(修正前: `>=1.81.16, <1.83.7` 該当バージョンが本番稼働中なら直ちに更新計画を立案)
🛡️ 暫定回避
暫定回避: set `disable_error_logs: true` under `general_settings`.
🔍 検知方法
Webサーバ・プロキシ・WAFのアクセスログで `POST /chat/completions` への異常リクエスト (不正な認証ヘッダ、SQL構文)を検索。 依存ファイル (package-lock.json/requirements.txt/go.sum) で `litellm` のバージョンを横断確認。

類似する過去の事例 過去のCVE/インシデントから類似事例を抽出

Another significant SQL injection vulnerability affecting authorization processes in similar systems.
Example of a SQL injection vulnerability exploited via an API header.
Historical highlight of the impact SQL injection can have on large systems.

もし自社で起きたら 業務シナリオごとの想定影響

📌 In a B2B SaaS environment where BerriAI LiteLLM powers critical business logic processing.
Unauthorized read/write access to databases leading to sensitive business data exposure.
📌 In systems handling personally identifiable information (PII) for third-party clients.
Potential breach of PII, leading to regulatory fines and damage to client trust.
📌 In an internal IT infrastructure using LLM APIs for operations.
Compromised infrastructure that leads to operational disruptions and data leaks.
推奨アクション
Immediate upgrade to patched version 1.83.7 and review error logging configurations.

対応アクション (7段階)

SOC/SREチームが順番に実行すべき具体的なステップとコマンド例

  1. 1
    影響範囲の特定 identify
    grep -r 'litellm' . | grep -v node_modules

    リポジトリと本番環境の依存ファイル (package-lock.json / requirements.txt / go.sum / Gemfile.lock 等) で `litellm` を grep し、稼働しているサービス・バージョンを把握する。

  2. 2
    バージョン照合 verify
    Confirm if version satisfies `>=1.81.16, <1.83.7`

    Step 1 で見つかったバージョンが影響範囲 `>=1.81.16, <1.83.7` に該当するか照合。本番で稼働中ならインシデント扱い。

  3. 3
    ログでの侵入兆候検索 detect
    grep 'POST /chat/completions' /var/log/nginx/access.log | grep -E '(unusual_payload|sqli_pattern)'

    アクセスログで `POST /chat/completions` への異常なリクエスト (不正な認証ヘッダ・SQLメタ文字)を過去 30〜90日分捜索。WAF/SIEM があれば該当パスのアラート発火履歴を確認。

  4. 4
    インシデント宣言検討 escalate
    Notify SOC / on-call

    CISA KEV登録済 = 実環境で悪用が観測されている。Step 3 で兆候があればインシデント対応宣言、無くてもパッチ適用までWAF強化を最優先で。

  5. 5
    暫定回避策の適用 mitigate
    set `disable_error_logs: true` under `general_settings`.

    パッチが適用されるまでの応急処置として、set `disable_error_logs: true` under `general_settings`. を実施。回避策の副作用 (機能低下) を確認した上で。

  6. 6
    パッチ適用 patch
    Upgrade litellm to >=1.83.7

    ステージング環境で >=1.83.7 に上げて回帰テスト → 本番反映。回帰テストはアプリの主要ハッピーパスと、Step 3 で見つけた異常検知の続報チェックを含めること。

  7. 7
    事後検証 verify
    Replay attack against POST /chat/completions on staging to confirm patch closes the vector

    パッチ適用後、ステージングで PoC または同等の悪用パターンを再現して脆弱性が閉じたことを確認。本番では Step 3 と同じログクエリでアラート再発が無いか継続監視。

影響パッケージ

pip litellm
[{"type":"ECOSYSTEM","events":[{"introduced":"0"},{"fixed":"1.83.7"}]}]
PyPI litellm
[{"type":"ECOSYSTEM","events":[{"introduced":"1.81.16"},{"fixed":"1.83.7"}]}]

参照URL

🍪 Cookie について

当サイトはログイン状態の保持・言語設定・サービス改善のために Cookie を使用します。詳細は下記リンクをご確認ください。

詳細 →