【至急】CVE-2026-42208 LiteLLMのSQLインジェクション脆弱性がもたらす代理DB不正操作リスク－AI Security担当者必見対策指南

結論

• 危険度: Critical (CVSS 9.8)
• 対象: litellm >= 1.81.16, < 1.83.7
• 修正: 1.83.7
• KEV: Yes (CISA悪用観測カタログ登録済 2026-05-08)

タイトルの緊急度プレフィックス（【至急】【最重大】等）の意味

表記	条件	意味	対応目安
【至急/ランサム悪用】	CISA KEV登録 + ランサムウェア悪用観測	ランサムグループが現在進行形で悪用	本日中に対応開始
【至急/重大】	CISA KEV登録 + CVSS 9.0以上	実世界で攻撃観測あり + スコア極めて高い	本日中に対応開始
【重大/KEV登録】	CISA KEV登録(CVSS低またはNVD未反映)	実世界で攻撃観測あり	数日以内
【最重大】	CVSS 9.5以上(KEV未登録)	理論上の危険度ほぼ満点、攻撃観測はまだない	1週間以内に対応計画
【重大】	CVSS 9.0〜9.4(KEV未登録)	Critical帯の理論的高リスク	1〜2週間以内
【高】	CVSS 7.0〜8.9(KEV未登録)	High帯のリスク	計画的に対応
(プレフィックスなし)	CVSS 7.0未満	Medium以下のリスク	通常メンテで対応

「至急」と「最重大」の違い: 「至急」は CISA(米国政府機関)が 実際に悪用を観測した CVEに付与されます。「最重大」は CVSS スコア上は最高峰だが、まだ悪用観測がない ものです。同じCVSS 9.8でもKEV登録の有無で扱いが変わります。

最終更新: 2026-05-20 ｜ 本記事は公式情報をもとに作成しています。最新情報はベンダー公式アドバイザリを必ずご確認ください。

STEP	やること	かかる目安
STEP 1	何が起きているか理解する	3分
STEP 2	急ぎ対応すべきか判断する	3分
STEP 3	自分の環境が対象か確認する	5分
STEP 4	修正を適用する	環境による
STEP 5	修正されたことを確認する	3分

STEP 1: 何が起きているか

一言でいうと

CVE-2026-42208はLiteLLMのLLMプロキシでSQLインジェクション脆弱性があり、攻撃者は認証なしにAPIキー管理データを読み書きできます。これはLLMゲートウェイ運用者にとって最優先対応すべき重大な問題です。

やさしく説明すると

LiteLLMはAIのAPI呼び出しを仲介するゲートウェイです。そこに玄関の鍵の代わりに不完全なチェックがあり、攻撃者は合鍵を使わずに勝手にドアを開けて中の重要な情報を覗いたり、書き換えたりできます。結果として、プロキシ自体やAPIキーなどの秘密情報が盗まれたり、悪用されるリスクがあります。

技術的な原因

この脆弱性はSQLインジェクション（SQL Injection）で、SQLとはデータベースを操作する言語です。LiteLLMはAPIキーのチェックをする際に、外部から送られた値を安全に分離せず、文字列として直接SQL文の中に埋め込みました。つまり、攻撃者が細工した値を送るとSQL命令が破られ、データの読み書きを自由にできてしまいます（CWE-89: SQL Injection）。

影響を受けると何が困るか

• LiteLLMのプロキシ自体やAPIキー管理情報に不正アクセスされる
• 機密のAPIキーが漏えいし、OpenAIやAnthropic等の有料APIを勝手に使われる
• プロンプトやコンテキスト情報の窃取、改ざんによるサービス障害や信頼失墜
• AI GatewayやAgentフレームワークの乗っ取りにつながる
• 請求コストの爆増リスク
• バイブコーダーで使うCursorやCline等のAI駆動開発環境の脆弱性利用拡大の可能性

もっと詳しく調べたい人へ — 公式情報源マップ

本記事は以下の公式・準公式の情報源から内容を集約しています。一次情報を確認したい場合や英語で詳細を読みたい場合は、各リンクから直接アクセスできます。

カテゴリ	情報源	言語	何が分かるか	リンク
総合	NVD（米国 NIST）	英	米国政府の脆弱性データベース。CVSSスコア、影響を受けるCPE、参考リンクの総合ハブ。最も網羅的。	開く
総合	MITRE CVE	英	CVE採番機関の公式記録。CVE記述の「正本」。NVDより記載が簡潔だが一次情報。	開く
総合	JVN iPedia（JPCERT/CC・IPA）	日	日本のCSIRTが運用する脆弱性対策情報データベース。日本語で概要・対策が読める。掲載がない場合あり。	開く
総合	CISA KEV（悪用観測カタログ）	英	米国CISAが実際に悪用を確認している脆弱性のカタログ。掲載されていれば最優先で対応。	開く
総合	GitHub Advisory Database	英	OSSパッケージ（npm/pypi/maven/composer/go等）別の脆弱性アドバイザリ。修正PRへのリンクが豊富。	開く
総合	OpenCVE	英	複数CVEデータベースの集約検索サービス。タイムラインや関連CVEの俯瞰に有用。	開く
Linux	Red Hat CVE	英	Red Hat製品（RHEL/CentOS Stream/Rocky/AlmaLinux系）の影響評価とパッチ状況。	開く
Linux	Ubuntu Security	英	Ubuntu の影響評価。各Ubuntuバージョン（22.04/24.04等）でのパッチ提供状況が一目で分かる。	開く
Linux	Debian Security Tracker	英	Debian の影響評価。stable/testing/sid別のパッチ状況。Debian派生ディストリ利用者向け。	開く
Linux	SUSE CVE	英	SUSE Linux Enterprise / openSUSE の影響評価とパッチ状況。	開く
悪用	Exploit Database	英	公開エクスプロイトのアーカイブ。検出ツールやペネトレーションテストでの参照用。	開く
悪用	Packet Storm Security	英	セキュリティアドバイザリ・エクスプロイトの集約サイト。古めの情報も含む。	開く
悪用	GitHub PoC 検索	英	GitHubコード検索でCVE IDを直接検索。野良PoCの早期発見に。	開く
悪用	X（Twitter）検索	日英	直近の議論やニュースを観測。In-the-wild悪用の早期検知に有用。	開く
スキャナ	Snyk Vulnerability DB	英	パッケージ別の脆弱性詳細と修正バージョン。OSS依存ライブラリ追跡に有用。	開く
スキャナ	Tenable（Nessus）	英	Nessusスキャナでの検出プラグイン情報。検出ロジックの参考に。	開く
スキャナ	Rapid7（Metasploit/Nexpose）	英	Metasploit悪用モジュール、Nexposeでの検出情報。	開く

掲載しているのは無料でアクセスできる情報源のみです。CVEによっては掲載がないサイトもあります（特にJVN iPediaは日本国内で報告された脆弱性のみ掲載）。

STEP 2: 急ぎ対応すべきか判断する

結論: 高

判断根拠

• CVSS v3.1スコアは 9.8 で、Critical（最重大）に該当。攻撃者は認証もユーザ操作も不要でリモートから攻撃可能。
• EPSS（悪用予測スコア）は 43.19% で、直近30日間に悪用される確率は高め。警戒すべき水準。
• ランサムウェアグループでの悪用は未確認（Unknown）であり、現在のところ目立った攻撃観測や公開PoCもなし。
• 攻撃はネットワーク越しに可能で、低複雑度・無権限・無ユーザ操作で実施できるため、迅速な対応が求められる。

誰が動くべきか

• LiteLLMをプロダクションで使うLLM Gateway運用チーム
• Agentフレームワーク開発者（LangChainやAutoGen等でLiteLLMを仲介に使う場合）
• AI Gatewayを運用するSRE/SecOpsチーム
• バイブコーダー開発者や、Cursor/Cline/Aider/GitHub Copilot/Claude Code等を使うAI駆動開発者（脆弱環境経由で影響が及ぶ可能性があるため）

STEP 3: 自分の環境が対象か確認する

影響を受けるバージョン

製品	脆弱なバージョン範囲	修正版
LiteLLM (pipパッケージ)	>= 1.81.16, < 1.83.7	1.83.7

バージョン確認コマンド

Python環境（pip）

pip show litellm

出力例:

Name: litellm
Version: 1.82.5
Summary: LiteLLM proxy server for LLM API calls
...

判定: Version が 1.81.16以上1.83.7未満なら脆弱

Python環境（pip list）

pip list | grep litellm

出力例:

litellm           1.82.3

判定: 1.81.16以上1.83.7未満なら脆弱

Python環境（poetry）

poetry show litellm

出力例:

name         : litellm
version      : 1.82.8
description  : LiteLLM proxy server
...

判定: version が 1.81.16以上1.83.7未満なら脆弱

設定確認

今回の脆弱性はLiteLLMのAPIキー検証時のSQLインジェクションが原因であり、設定依存性はありません。したがって、対象バージョンを使っている場合は脆弱です。

Nucleiテンプレートでの検出

本脆弱性に対する公開Nucleiテンプレートは現時点で存在しません。検出は上記バージョン確認により実施してください。

STEP 4: 修正を適用する

パッチ適用

Python環境（pip）

pip install --upgrade litellm==1.83.7

出力例:

Successfully installed litellm-1.83.7

判定: アップグレード後は 1.83.7 以上で安全

Python環境（poetry）

poetry add litellm@1.83.7

出力例:

Updating dependencies
Resolving dependencies... (0.2s)
Writing lock file
Installing dependencies from lock file

判定: バージョンが 1.83.7 以上なら安全

注意: パッチ適用前に必ずバックアップを取得してください。また、本番環境ではステージング検証とダウンタイム計画を行ってから実施してください。

パッチ即時適用ができない場合の暫定対応

アップグレードが当面できない場合は、LiteLLMの設定ファイルで general_settings 配下に disable_error_logs: true を設定してください。これにより、攻撃者が脆弱経路を通じてエラー情報からSQLクエリに到達する道が塞がれます。

ただし、これは根本対策ではなくあくまで緩和策です。早急に1.83.7以上にアップグレードしてください。

STEP 5: 修正されたことを確認する

STEP 3で紹介したバージョン確認コマンドを再度実行します。

期待される出力

Python環境（pip）

pip show litellm

出力例:

Name: litellm
Version: 1.83.7
Summary: LiteLLM proxy server for LLM API calls
...

判定: バージョンが 1.83.7 以上ならOK

Python環境（pip list）

pip list | grep litellm

出力例:

litellm           1.83.7

判定: 1.83.7 以上なら安全

追加で確認すべきこと

• ログに不審なアクセスや異常なエラーがないか監視する
• パッチ適用後に脆弱性検出ツールや社内セキュリティチームと連携し最終確認を行う

補足: 悪用観測状況

CVE-2026-42208は2026年5月8日に米国のCISA KEV（Known Exploited Vulnerabilities）カタログに登録されています。これは実際に悪用が観測されていることを意味しますが、現時点でランサムウェアグループによる悪用は未確認です。公に利用可能なPoC（攻撃コード）はGitHub上に存在しません。

つまり実務的には十分に注意し、速やかな対応を進めるべき状況です。

補足: CVSSメトリクス詳細

• AV（攻撃元）: Network（ネットワーク経由） – 攻撃者は遠隔から脆弱性を狙えます。
• AC（攻撃複雑度）: Low（低い） – 複雑な準備や操作を必要としません。
• PR（必要な権限）: None（不要） – 攻撃に特別な権限は不要です。
• UI（ユーザ操作）: None（不要） – 他のユーザの操作を介さず攻撃できます。
• S（スコープ）: Unchanged（変更なし） – 攻撃は単一権限範囲内で完結します。
• C（機密性）: High（重大） – 機密情報の漏洩が発生します。
• I（完全性）: High（重大） – データの不正改ざんが可能です。
• A（可用性）: High（重大） – サービスが停止あるいは妨害されます。

よくある質問（FAQ）

Q. このCVEに対応するために最低限すべきことは何ですか？

A. まずSTEP 3のバージョン確認を行い、対象であればSTEP 4の1.83.7へのアップグレードを実施してください。それが難しければ設定ファイルでdisable_error_logs: trueの暫定対応を行い、速やかにパッチ適用に備えます。

Q. パッチが適用できない場合、どうすればよいですか？

A. STEP 4の暫定対応として、LiteLLMの設定でエラーログ出力を無効化することを推奨します。ネットワーク的にアクセス制限を強化することも有効です。

Q. 既に攻撃を受けているか確認する方法はありますか？

A. ログに不審なAuthorizationヘッダーアクセスやSQLエラー異常がないか監視してください。ベンダーのIOC（侵害指標）があればそれも併用してください。

Q. なぜEPSSスコアが重要なのですか？

A. CVSSは脆弱性の技術的な深刻度を示しますが、EPSSは「実際に攻撃者が悪用する確率」を示します。両者を併せて見ることで優先度判断がより正確になります。

Q. このCVEと類似の脆弱性は他にもありますか？

A. CWE-89に該当するSQLインジェクション脆弱性はLLMプロキシやAPIゲートウェイ製品で類似事例が過去にも報告されています。最新版への継続的な更新と設定の見直しが重要です。

参考文献

• NVD – CVE-2026-42208
• LiteLLM パッチリリース 1.83.7
• LiteLLM 公式セキュリティアドバイザリ
• CISA KEV カタログ

関連トピック・タグから探す

本記事に関連するキーワードから、他のAIセキュリティ記事を探せます。

• Critical脆弱性 に関するCVE・脆弱性記事一覧
• BerriAI に関するCVE・脆弱性記事一覧
• LiteLLM に関するCVE・脆弱性記事一覧
• SQLインジェクション に関するCVE・脆弱性記事一覧
• LLM に関するCVE・脆弱性記事一覧
• AI Gateway に関するCVE・脆弱性記事一覧
• AIフレームワーク に関するCVE・脆弱性記事一覧
• KEV登録 に関するCVE・脆弱性記事一覧

2026-06-04 追記

本記事の公開後、以下の重要な変化が確認されました（公開からの経過: 13日）。

項目	公開時点	2026-06-04時点	変化の意味
Nucleiテンプレート追加	なし	あり	自動スキャナでの検出が可能になった

Nucleiテンプレート追加

公開当初はCVE-2026-42208に対応するNucleiテンプレートは存在しませんでしたが、現在は「あり」となり、自動スキャナでの検出が可能になりました。Nucleiはセキュリティの現場で広く利用されているオープンソースの脆弱性スキャナであり、そのテンプレートが追加されたことで、組織や運用担当者が自動的に当該脆弱性の有無を判定できるようになりました。

この変化により、不特定多数の攻撃者によるスキャンや検出のハードルが大きく下がったことを意味します。運用上、「自分は対象か分からない」といったリスクを減らす手段になる一方、攻撃者側の検出効率も高まるため、未修正環境を放置した場合の危険性も増しています。推奨アクションとして、テンプレートを用いた自環境での診断を速やかに実施し、まだ対策を取れていない場合は直ちにバージョン1.83.7以降へのアップグレードを強く検討してください。