TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

トップ > ベンダー: BerriAI > 「BerriAI LiteLLM」にSQLi脆弱性 - 認証情報漏洩のおそれ、悪用も

「BerriAI LiteLLM」にSQLi脆弱性 - 認証情報漏洩のおそれ、悪用も

ベンダー: BerriAI サービス: BerriAI LiteLLM 脆弱性: SQLインジェクション / SQLi CVE-2026-42208 悪用が確認された脆弱性カタログ(KEV)

【要点】

◎LiteLLMにSQLインジェクション脆弱性が発覚し、認証情報漏洩の恐れがあり実際の悪用も確認 (Security NEXT)

【脆弱性内容】  (★: 本ブログ内の詳細記事リンク)
CVE公開日
CVE登録日
CVE番号
NVD
ベンダー
CVSS v4
CVSS v3
CWE
脆弱性
KEV公開日
備考
2026/05/08 2026/04/25 CVE-2026-42208 NVD BerriAI
9.3(GitHub)
9.8(NVD)
 CWE-89 SQLインジェクション 2026/05/08 litellm


【要約】

BerriAI LiteLLMにSQLインジェクション(CVE-2026-42208)が存在し、APIキー管理データベースへの不正アクセスや改ざんが可能となる。CVSS9.3のクリティカルで、CISAもKEVに登録し悪用を警告している。既に修正版が公開されており、迅速なアップデートが必要。LLM関連基盤のセキュリティリスクが浮き彫りとなった


【ニュース】

◆「BerriAI LiteLLM」にSQLi脆弱性 - 認証情報漏洩のおそれ、悪用も (Security NEXT, 2026/05/11)
https://www.security-next.com/184241


【関連まとめ記事】

全体まとめ
 ◆攻撃手法 (まとめ)

◆SQLインジェクション (まとめ)
https://vul.hatenadiary.com/entry/SQLinjection

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022