【最重大】CVE-2026-44649 SillyTavern認証バイパス脆弱性でLLM環境が危険に AI Security対策手順ガイド

結論

• 危険度: Critical (CVSS 9.8)
• 対象: sillytavern <= 1.17.0
• 修正: 1.18.0
• KEV: No (NVD Critical由来。CISA KEVには未登録)

タイトルの緊急度プレフィックス（【至急】【最重大】等）の意味

表記	条件	意味	対応目安
【至急/ランサム悪用】	CISA KEV登録 + ランサムウェア悪用観測	ランサムグループが現在進行形で悪用	本日中に対応開始
【至急/重大】	CISA KEV登録 + CVSS 9.0以上	実世界で攻撃観測あり + スコア極めて高い	本日中に対応開始
【重大/KEV登録】	CISA KEV登録(CVSS低またはNVD未反映)	実世界で攻撃観測あり	数日以内
【最重大】	CVSS 9.5以上(KEV未登録)	理論上の危険度ほぼ満点、攻撃観測はまだない	1週間以内に対応計画
【重大】	CVSS 9.0〜9.4(KEV未登録)	Critical帯の理論的高リスク	1〜2週間以内
【高】	CVSS 7.0〜8.9(KEV未登録)	High帯のリスク	計画的に対応
(プレフィックスなし)	CVSS 7.0未満	Medium以下のリスク	通常メンテで対応

「至急」と「最重大」の違い: 「至急」は CISA(米国政府機関)が 実際に悪用を観測した CVEに付与されます。「最重大」は CVSS スコア上は最高峰だが、まだ悪用観測がない ものです。同じCVSS 9.8でもKEV登録の有無で扱いが変わります。

最終更新: 2026-05-29 ｜ 本記事は公式情報をもとに作成しています。最新情報はベンダー公式アドバイザリを必ずご確認ください。

STEP	やること	かかる目安
STEP 1	何が起きているか理解する	3分
STEP 2	急ぎ対応すべきか判断する	2分
STEP 3	自分の環境が対象か確認する	5分
STEP 4	修正を適用する	環境による
STEP 5	修正されたことを確認する	3分

STEP 1: 何が起きているか

一言でいうと

CVE-2026-44649は、SillyTavernというLLM（大規模言語モデル）用ユーザーインターフェースの認証を、攻撃者がSSO設定時にHTTPヘッダーを偽造して任意ユーザー、管理者権限でパスワード不要にログインできる脆弱性です。LLMゲートウェイ運用者は最優先で対応してください。

やさしく説明すると

SillyTavernはAIを使うアプリの玄関です。玄関の鍵としてSSO（シングルサインオン）を使いますが、鍵を開けるはずの玄関扉に「この人はOK」と裏口から勝手に伝える仕組みがあります。しかしその裏口の安全確認が甘く、誰でもその合言葉（ヘッダー）を勝手に送れる状態です。つまり、知らない人でも鍵付きのドアからすり抜けて自由に入れる状態になってしまいます。管理者操作も可能なため、大きなリスクです。

技術的な原因

この脆弱性は以下のCWEに該当します。CWE-290（不適切な認証）とCWE-306（誤った認証ステータスの管理）により、攻撃者は正規のSSOリバースプロキシから来たと見せかけて、HTTPリクエストに認証済みユーザー名を含むヘッダー（例えばRemote-UserやX-Authentik-Username）を送信できます。さらにCWE-346（不十分な認証に基づくアクセス制御）が絡み、受け入れ側のSillyTavernはこれらのヘッダーが信頼できる送信元から来ているか検証しません。

つまり、ネットワーク上でポートにアクセスできる者はこれらのヘッダーを直接挿入し、パスワードやトークンなしで認証バイパスが成立します。設定ファイルでsso.autheliaAuth: trueまたはsso.authentikAuth: trueが有効な場合に限り、この問題が発生します。

影響を受けると何が困るか

• パスワード不要で攻撃者が管理者権限を奪取し、管理APIやユーザーデータを乗っ取られる
• 顧客やユーザーデータを含むLLMのプロンプトやコンテキストを盗まれる
• プロンプトインジェクション経由でAgent（エージェント型AI）を乗っ取られ、悪用される
• RAG（情報検索強化生成）用データやモデルが改ざんされる恐れ
• APIキーや認証情報の漏洩により、追加の攻撃や不正アクセスが拡大
• Cursor、Cline、CopilotなどのAIコーディングツール経由でさらなるローカルファイル読み取り、コード実行のリスク
• インフラ全体に横展開され、SRE/SecOpsチームの対応負荷が増大

もっと詳しく調べたい人へ — 公式情報源マップ

本記事は以下の公式・準公式の情報源から内容を集約しています。一次情報を確認したい場合や英語で詳細を読みたい場合は、各リンクから直接アクセスできます。

カテゴリ	情報源	言語	何が分かるか	リンク
総合	NVD（米国 NIST）	英	米国政府の脆弱性データベース。CVSSスコア、影響を受けるCPE、参考リンクの総合ハブ。最も網羅的。	開く
総合	MITRE CVE	英	CVE採番機関の公式記録。CVE記述の「正本」。NVDより記載が簡潔だが一次情報。	開く
総合	JVN iPedia（JPCERT/CC・IPA）	日	日本のCSIRTが運用する脆弱性対策情報データベース。日本語で概要・対策が読める。掲載がない場合あり。	開く
総合	CISA KEV（悪用観測カタログ）	英	米国CISAが実際に悪用を確認している脆弱性のカタログ。掲載されていれば最優先で対応。	開く
総合	GitHub Advisory Database	英	OSSパッケージ（npm/pypi/maven/composer/go等）別の脆弱性アドバイザリ。修正PRへのリンクが豊富。	開く
総合	OpenCVE	英	複数CVEデータベースの集約検索サービス。タイムラインや関連CVEの俯瞰に有用。	開く
Linux	Red Hat CVE	英	Red Hat製品（RHEL/CentOS Stream/Rocky/AlmaLinux系）の影響評価とパッチ状況。	開く
Linux	Ubuntu Security	英	Ubuntu の影響評価。各Ubuntuバージョン（22.04/24.04等）でのパッチ提供状況が一目で分かる。	開く
Linux	Debian Security Tracker	英	Debian の影響評価。stable/testing/sid別のパッチ状況。Debian派生ディスト利用者向け。	開く
Linux	SUSE CVE	英	SUSE Linux Enterprise / openSUSE の影響評価とパッチ状況。	開く
悪用	Exploit Database	英	公開エクスプロイトのアーカイブ。検出ツールやペネトレーションテストでの参照用。	開く
悪用	Packet Storm Security	英	セキュリティアドバイザリ・エクスプロイトの集約サイト。古めの情報も含む。	開く
悪用	GitHub PoC 検索	英	GitHubコード検索でCVE IDを直接検索。野良PoCの早期発見に。	開く
悪用	X（Twitter）検索	日英	直近の議論やニュースを観測。In-the-wild悪用の早期検知に有用。	開く
スキャナ	Snyk Vulnerability DB	英	パッケージ別の脆弱性詳細と修正バージョン。OSS依存ライブラリ追跡に有用。	開く
スキャナ	Tenable（Nessus）	英	Nessusスキャナでの検出プラグイン情報。検出ロジックの参考に。	開く
スキャナ	Rapid7（Metasploit/Nexpose）	英	Metasploit悪用モジュール、Nexposeでの検出情報。	開く

掲載しているのは無料でアクセスできる情報源のみです。CVEによっては掲載がないサイトもあります（特にJVN iPediaは日本国内で報告された脆弱性のみ掲載）。

STEP 2: 急ぎ対応すべきか判断する

結論: 【最重大】

判断根拠

• CVSS v3.1スコアは9.8で最も危険なCriticalランク。実務的には「今すぐ対応計画を立てるべき深刻度」です。
• EPSS（悪用予測スコア）は提供されていませんが、認証不要・ネットワーク経由で直接狙えるため悪用リスクは非常に高いと推測されます。
• 現時点でランサムウェアによる悪用観測情報はありません。
• 公開PoCもなく、悪用コードは流通していません。
• ネットワーク経由でSillyTavernの対象ポートにアクセスできる場合、認証ヘッダーを偽造しパスワードなしで管理者権限を取得できます。
• 設定ファイルでsso.autheliaAuth: trueまたはsso.authentikAuth: trueが有効になっている必要があります。

誰が動くべきか

• LLMアプリケーションのインターフェースとしてSillyTavernを利用し、SSO連携を設定している開発者・運用チーム
• Agent（エージェント）型AIフレームワークやAI Gatewayを運用しているSRE/SecOpsチーム
• Cursor、Cline、GitHub CopilotなどAI駆動開発環境をSillyTavern経由で管理している「バイブコーダー」開発者

STEP 3: 自分の環境が対象か確認する

影響を受けるバージョン

製品	脆弱なバージョン範囲	修正版
sillytavern (npmパッケージ)	1.17.0 以下	1.18.0

バージョン確認コマンド

Python（pip）

pip show sillytavern

出力例:

Name: sillytavern
Version: 1.17.0
Summary: SillyTavern UI for LLM

判定: Versionが1.17.0以下なら脆弱。1.18.0以上なら安全です。

Node.js（npm）

npm list sillytavern

出力例:

├── sillytavern@1.17.0

判定: バージョンが1.17.0以下なら脆弱。1.18.0以上なら安全です。

設定確認

脆弱性は config.yaml 内の sso.autheliaAuth または sso.authentikAuth が true の場合にのみ影響します。どちらもデフォルトは false です。

以下コマンド例で設定内容を確認してください。設定依存のため、falseなら脆弱性は発生しません。

Linux/macOS (cat)

cat /path/to/sillytavern/config.yaml | grep 'sso.autheliaAuth\|sso.authentikAuth'

出力例:

sso:
  autheliaAuth: true
  authentikAuth: false

判定: autheliaAuth または authentikAuth が trueなら脆弱です。

公開Nucleiテンプレートでの検出

現在、CVE-2026-44649に対応した公開Nucleiテンプレートは提供されていません。バージョンと設定による確認を推奨します。

STEP 4: 修正を適用する

パッチ適用

Python（pip）でアップデート

pip install --upgrade sillytavern

説明: sillytavernの最新版1.18.0以上にアップグレードしてください。

Node.js（npm）でアップデート

npm install sillytavern@1.18.0 --save

説明: 依存関係を1.18.0以上に更新してください。

注意: アップグレード前に必ず現行環境のバックアップを取得し、ステージング環境で動作検証を行った後に本番適用してください。ダウンタイム計画も必須です。

パッチ即時適用ができない場合の暫定対応

公式の暫定対応は公開されていません。ネットワークのアクセスポリシー強化や対象ポートへのアクセス制限、SSO設定を false に戻すことが有効です。

STEP 5: 修正されたことを確認する

STEP 3で実行したバージョン確認コマンドを、修正後に再度実行してください。

期待される出力

Python（pip）

pip show sillytavern

出力例:

Name: sillytavern
Version: 1.18.0
Summary: SillyTavern UI for LLM

判定: バージョンが 1.18.0 以上ならOK。

Node.js（npm）

npm list sillytavern

出力例:

├── sillytavern@1.18.0

判定: バージョンが 1.18.0 以上ならOK。

追加で確認すべきこと

• ネットワークアクセスログに不審なSSOヘッダー挿入の痕跡がないか監査してください。
• 設定で sso.autheliaAuth または sso.authentikAuth が許可されていることを再確認してください。
• Nucleiテンプレートが公開された場合は再実行してください。

補足: 悪用観測状況

現時点でこの脆弱性に対するランサムウェアグループの悪用報告はありません。GitHub上にも公開PoCは存在せず、実際のエクスプロイトも確認されていません。とはいえ、認証不要で管理者権限を奪取できるため強い注意が必要です。悪用リスクが高いため迅速な対応を推奨します。

補足: CVSSメトリクス詳細

• AV（攻撃元）: NETWORK （ネットワーク経由の攻撃が可能）
• AC（攻撃複雑度）: LOW （攻撃に特別な条件を要さない）
• PR（必要権限）: NONE （認証が不要）
• UI（ユーザ操作）: NONE （ユーザの操作を必要としない）
• S（スコープ）: UNCHANGED （自分の権限で影響が完結）
• C（機密性影響）: HIGH （秘密情報が漏洩する）
• I（完全性影響）: HIGH （情報の改ざんが可能）
• A（可用性影響）: HIGH （サービス停止などが可能）

よくある質問（FAQ）

Q. このCVEに対応するために最低限すべきことは何ですか？

A. STEP 3で自環境のバージョンと設定を確認し、脆弱ならSTEP 4で1.18.0以上にアップグレードしてください。確認コマンドも記事内に記載しています。

Q. パッチが適用できない場合、どうすればよいですか？

A. STEP 4の暫定対応として、config.yamlで sso.autheliaAuth と sso.authentikAuth を false に設定したり、ネットワークレベルでSillyTavernのポートへのアクセス制限を実施してください。

Q. 既に攻撃を受けているか確認する方法はありますか？

A. SSOヘッダーの不審なアクセスログがないか監査し、認証不要で管理者権限を取得された痕跡をログから探してください。公式のIOCはありません。

Q. なぜEPSSスコアが重要なのですか？

A. CVSSは脆弱性の技術的な深刻度を示しますが、EPSSは実際に悪用される確率を示します。両方を参照することで対策優先度をより正確に判断できます。

Q. このCVEと類似の脆弱性は他にもありますか？

A. CWE-290やCWE-306に分類される不適切認証に関する脆弱性は他製品にも存在します。特にSSOヘッダーの検証漏れは過去に同様の問題が報告されているため注意が必要です。

参考文献

• NVD: CVE-2026-44649 詳細
• GitHub Advisory: GHSA-gxx6-h3g6-vwjh
• SillyTavern公式ドキュメント – SSO設定
• GitHub Advisory Databaseでの検索結果

関連トピック・タグから探す

本記事に関連するキーワードから、他のAIセキュリティ記事を探せます。

• Critical脆弱性 に関するCVE・脆弱性記事一覧
• 認証バイパス に関するCVE・脆弱性記事一覧
• LLM に関するCVE・脆弱性記事一覧

2026-05-30 追記

本記事の公開後、以下の重要な変化が確認されました（公開からの経過: 0日）。

項目	公開時点	2026-05-30時点	変化の意味
CWE追加	CWE-290, CWE-306, CWE-346	CWE-290, CWE-306, CWE-346, CWE-807	新規CWE: CWE-807

CWE追加: CWE-807の新規追加

公開時点では、該当脆弱性のCWE（共通脆弱性タイプ分類）は「CWE-290, CWE-306, CWE-346」の3件でしたが、新たに「CWE-807（信頼できない入力の信頼を誤る）」が追加されました。CWE-807の追加は、この脆弱性の本質が「信頼していないネットワーク経由の入力（本ケースではHTTPヘッダー）を、システムが正規の認証情報と同様に扱ってしまう」点にあることを示しています。

このCWEの分類強化により、運用担当者は「ヘッダーの送信元を厳密に信頼できる条件下のみ受付ける」対策や、リバースプロキシ以外からのアクセス制限を強く意識する必要があります。運用環境ではネットワーク境界やアクセス経路の見直しなど、追加的なセキュリティ強化策の検討も推奨されます。最新のCWE情報に即した脆弱性対応方針を必ずご確認ください。