【至急】CVE-2026-42208 BerriAI LiteLLMのSQLインジェクション脆弱性を狙う攻撃急増中｜AI Security対策実践ガイド

結論

• 危険度: Critical (CVSS 9.8)
• 対象: litellm >= 1.81.16, < 1.83.7
• 修正: 1.83.7
• KEV: Yes (CISA悪用観測カタログ登録済 2026-05-08)

最終更新: 2026-06-08 ｜ 本記事は公式情報をもとに作成しています。最新情報はベンダー公式アドバイザリを必ずご確認ください。

STEP 1: 何が起きているか

一言でいうと

CVE-2026-42208はLiteLLMの脆弱性で、攻撃者は認証なしにSQLインジェクション（データベース操作の不正実行）ができます。攻撃者はLiteLLMを使うAI GatewayやLLM Proxyの管理情報やAPIキーを読み書きできるので、LLMゲートウェイ運用者にとって最優先で対応すべき問題です。

やさしく説明すると

LiteLLMはAIアプリケーションが使うプロキシ（代理サーバー）で、APIキーの管理にデータベースを使っています。今回の脆弱性は例えると玄関の鍵穴にカギを差し込まず、内部からのチェックを甘くしてしまったようなものです。誰でもカギを偽装して勝手にドアを開けられ、中の大切な情報や鍵そのものを盗み出したり、変更したりできます。

技術的な原因

今回の脆弱性はCWE-89「SQLインジェクション」です。LiteLLMのAPIキー検証処理で、呼び出し元が送ったキー文字列をSQLクエリのパラメータとしてではなく、そのままSQL文に混ぜ込んでいました。つまり、悪意ある入力がクエリの構造を壊し、自由にデータベースの内容を読み書きできます。SQLインジェクションは古典的かつ致命的な攻撃手法の一つです。

影響を受けると何が困るか

• LiteLLMの内部データベースからAPIキーなどの認証情報が漏洩し、第三者が不正にサービスを利用できる
• データベースの情報を書き換えられ、LLMプロキシの制御を乗っ取られる
• 代理を介する他のAIアプリやLLMへの不正アクセスにつながる
• AI Gatewayのセキュリティが崩れ、RAG(検索強化生成)パイプラインやAgentフレームワークを含む広範囲な影響
• AI駆動開発ツール（Cursor、Cline、Copilot等）経由での認証情報漏洩などのリスクも高まる

もっと詳しく調べたい人へ — 公式情報源マップ

本記事は以下の公式・準公式の情報源から内容を集約しています。一次情報を確認したい場合や英語で詳細を読みたい場合は、各リンクから直接アクセスできます。

掲載しているのは無料でアクセスできる情報源のみです。CVEによっては掲載がないサイトもあります（特にJVN iPediaは日本国内で報告された脆弱性のみ掲載）。

STEP 2: 急ぎ対応すべきか判断する

結論: 高

判断根拠

• CVSS v3.1スコアは9.8（Critical）で極めて危険。実務的には「ネットワーク経由で誰でも認証不要に重要情報を奪えるため、即対応レベル」です。
• EPSS（悪用予測スコア）は約57%で、直近30日での悪用確率が高い水準です。最優先ではないが警戒を要します。
• ランサムウェアによる悪用は現時点で確認されていません。
• 公開PoCやエクスプロイトは存在しません（GitHubにも無し、ExploitDBも無し）。
• 攻撃に必要な条件は「認証不要」「ユーザ操作不要」「ネットワーク経由」であり、攻撃の敷居は低い。デフォルト設定で脆弱です。

誰が動くべきか

• LLM Gateway運用チーム(LiteLLM/OpenRouterなどのAI Gateway運用者)
• Agentフレームワーク開発者(LangChain, AutoGen等を使う開発者)
• MLインフラチーム(vLLM、TritonなどLLMを扱うインフラ担当)
• RAGパイプライン保守者
• バイブコーダー開発者(Cursor、Cline、Aider、GitHub Copilot、Claude Code等の利用者)
• AI駆動開発インフラのSRE/SecOps

STEP 3: 自分の環境が対象か確認する

影響を受けるバージョン

バージョン確認コマンド

Python (pip)

pip show litellm

出力例:

Name: litellm
Version: 1.82.3
Summary: Lightweight LLM proxy server
...

判定: Version が 1.81.16以上かつ 1.83.7未満なら脆弱です。

Python (pip list と grep)

pip list | grep litellm

出力例:

litellm           1.82.3

判定: バージョンが 1.81.16以上かつ 1.83.7未満なら脆弱です。

設定確認

今回の脆弱性は設定依存ではありません。LiteLLMのバージョンが対象範囲であれば脆弱です。

Nucleiテンプレートでの検出

LiteLLM向けの公式Nucleiテンプレートが提供されています。非破壊的に検出可能です。使い方例は以下の通りです。

Linux/macOS（nuclei）

nuclei -t https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2026/CVE-2026-42208.yaml -u https://your-litellm-proxy.example.com

出力例:

[INF] Running nuclei against https://your-litellm-proxy.example.com
[CVE-2026-42208] LiteLLM - SQL Injection [critical]
Matched at path: /v1/chat/completions
... (省略) ...

判定: 脆弱性が検出されれば対象環境です。検出されなければ修正済み、または対象外。

STEP 4: 修正を適用する

パッチ適用

Python (pip) でのアップグレード

pip install -U litellm==1.83.7

出力例:

Successfully installed litellm-1.83.7

Dockerイメージの更新

docker pull berriai/litellm:1.83.7
docker stop litellm-container
docker rm litellm-container
docker run -d --name litellm-container berriai/litellm:1.83.7

出力例:

1.83.7: Pull complete
litellm-container

注意: 修正前に必ず設定ファイルとデータベースのバックアップを取得してください。ステージング環境で動作検証を行い、本番環境のダウンタイムを計画的にスケジューリングしてください。

パッチ即時適用ができない場合の暫定対応

現時点で公式から提示されている暫定対応策は、LiteLLMの設定ファイルで general_settings の下に disable_error_logs: true を設定することです。これにより、攻撃者が脆弱なSQL文に辿り着く経路を遮断してリスクを低減できます。

general_settings:
  disable_error_logs: true

ただし、これは完全な防御策ではなく、一時しのぎです。できるだけ早く1.83.7以降へアップグレードしてください。

STEP 5: 修正されたことを確認する

STEP 3で実行したバージョン確認コマンドを、修正適用後に再度実行してください。

期待される出力

Python (pip)

pip show litellm

出力例（修正後）:

Name: litellm
Version: 1.83.7
Summary: Lightweight LLM proxy server
...

判定: バージョンが 1.83.7 以上ならOKです。脆弱なバージョンではありません。

追加で確認すべきこと

• Nucleiテンプレートを使い、再度検査を実施し脆弱性が検出されないことを確認する。
• ログに不審なアクセスや攻撃の痕跡がないか監視し、異常があれば調査・対応を行う。

補足: 悪用観測状況

2026年6月時点でCISAのKnown Exploited Vulnerabilities Catalog（悪用観測カタログ）に登録されています。これにより実際の攻撃は米国政府機関により確認済みですが、ランサムウェアグループによる悪用報告はまだありません。GitHubやExploit Databaseに公開PoCや悪用コードは見つかっていません。

EPSSによれば、悪用される可能性は高く、警戒が必要です。早急にバージョンを1.83.7以上に上げましょう。

補足: CVSSメトリクス詳細

• AV (Attack Vector): NETWORK (ネットワーク経由で攻撃可能)
• AC (Attack Complexity): LOW (攻撃の難易度が低い)
• PR (Privileges Required): NONE (権限不要)
• UI (User Interaction): NONE (ユーザ操作不要)
• S (Scope): UNCHANGED (脆弱性により影響範囲が拡大しない)
• C (Confidentiality Impact): HIGH (機密性の損失が甚大)
• I (Integrity Impact): HIGH (データ改ざんが可能)
• A (Availability Impact): HIGH (サービス停止を引き起こす可能性)

よくある質問（FAQ）

Q. このCVEに対応するために最低限すべきことは何ですか？

A. まずはSTEP 3の対象バージョン確認を行い、脆弱なLiteLLMを使っている場合はSTEP 4の1.83.7以上へのアップグレードを実施してください。その後STEP 5の再検証で修正を確認ください。

Q. パッチが適用できない場合、どうすればよいですか？

A. 公式が示す暫定対応として、設定ファイルに disable_error_logs: true を追加し、脆弱性の攻撃経路を遮断してください。ただしこれは一時的措置であり、速やかなアップグレードが必要です。

Q. 既に攻撃を受けているか確認する方法はありますか？

A. ベンダーからの直接的なIOCは公表されていませんが、ログに異常なAuthorizationヘッダーのリクエストや、データベース不整合があれば疑いを持って調査してください。監査ログの強化も併せて推奨されます。

Q. なぜEPSSスコアが重要なのですか？

A. CVSSは脆弱性の理論上の深刻度を示しますが、EPSSは「実際に悪用される確率」を示します。両方を参照することで、優先的に対応すべき脆弱性を正しく判断できます。

Q. このCVEと類似の脆弱性は他にもありますか？

A. CWE-89「SQLインジェクション」は広く知られる脆弱性で、他のAI GatewayやLLM Proxy製品にも同様の課題が存在する可能性があります。共通の対策として必ずパラメータをSQL文から分離する設計が求められます。

参考文献

• BerriAI / LiteLLM 公式セキュリティアドバイザリ
• NVD – CVE-2026-42208 詳細
• LiteLLM 1.83.7 リリースノート
• CISA Known Exploited Vulnerabilities Catalog
• Nucleiテンプレート：CVE-2026-42208

関連トピック・タグから探す

本記事に関連するキーワードから、他のAIセキュリティ記事を探せます。

• Critical脆弱性 に関するCVE・脆弱性記事一覧
• BerriAI に関するCVE・脆弱性記事一覧
• LiteLLM に関するCVE・脆弱性記事一覧
• SQLインジェクション に関するCVE・脆弱性記事一覧
• LLM に関するCVE・脆弱性記事一覧
• AI Gateway に関するCVE・脆弱性記事一覧
• AIフレームワーク に関するCVE・脆弱性記事一覧
• KEV登録 に関するCVE・脆弱性記事一覧

2026-06-16 追記

本記事の公開後、以下の重要な変化が確認されました（公開からの経過: 6日）。

EPSS大幅上昇

公開時点ではEPSS（Exploit Prediction Scoring System）スコアが「57.00%」だったのに対し、2026-06-16時点で「93.11%」へと飛躍的に上昇しました。EPSSは実際の攻撃者による悪用可能性を示す指標であり、今回のような急激な上昇は脆弱性が現実世界で攻撃対象となりやすくなっていることを意味します。

このようなEPSSスコアの大幅上昇は、攻撃エコシステム内で本脆弱性の関心や実際の悪用事例が短期間で急増している可能性を示唆します。未対策のまま運用を継続すると、サービスやデータベースへの不正アクセス、情報漏洩、改ざんなど深刻な被害に直結するおそれがあります。既に修正済みバージョン（1.83.7以上）がリリースされているため、該当システムの運用者は直ちにアップデートを実施し、追加の監査や不審なアクセスログの確認など積極的なセキュリティ対策を推奨します。