CRITICAL🚩 CISA KEV⚡ EXPLOIT🇬🇧 English

CVE-2026-42208

SQL Injection w LiteLLM umożliwia nieautoryzowany dostęp do bazy danych

CVSS 9.3v4.0pub. 2026-05-08upd. 2026-06-29

LiteLLM (AI Gateway/proxy server) w wersjach od 1.81.16 do przed 1.83.7 zawiera krytyczną podatność SQL injection w mechanizmie weryfikacji kluczy API. Nieuwierzytelniony atakujący może odczytać lub zmodyfikować dane w bazie proxy, uzyskując nieautoryzowany dostęp do poświadczeń zarządzanych przez bramę AI.

Pokaż oryginał (EN)

LiteLLM is a proxy server (AI Gateway) to call LLM APIs in OpenAI (or native) format. From version 1.81.16 to before version 1.83.7, a database query used during proxy API key checks mixed the caller-supplied key value into the query text instead of passing it as a separate parameter. An unauthenticated attacker could send a specially crafted Authorization header to any LLM API route (for example POST /chat/completions) and reach this query through the proxy's error-handling path. An attacker could read data from the proxy's database and may be able to modify it, leading to unauthorised access to the proxy and the credentials it manages. This issue has been patched in version 1.83.7.

🤖 Analiza AI
Jak działa

Zapytanie bazodanowe używane podczas sprawdzania kluczy API proxy bezpośrednio osadzało wartość klucza dostarczoną przez wywołującego w treści zapytania SQL, zamiast przekazywać ją jako osobny, sparametryzowany parametr. Atakujący mógł wysłać spreparowany nagłówek Authorization do dowolnej trasy LLM API (np. POST /chat/completions), a złośliwy payload docierał do podatnego zapytania przez ścieżkę obsługi błędów proxy. Brak separacji danych wejściowych od kodu SQL (CWE-89) pozwalał na manipulację logiką zapytania i obejście uwierzytelnienia (Auth Bypass).

Skutki

Atakujący może odczytać zawartość bazy danych proxy — w tym przechowywane klucze API i inne poświadczenia do modeli LLM — oraz potencjalnie modyfikować dane, co prowadzi do nieautoryzowanego dostępu do bramy i wszystkich zasobów przez nią zarządzanych.

Mitygacja

Należy niezwłocznie zaktualizować LiteLLM do wersji 1.83.7 lub nowszej. Patch dostępny jest w oficjalnym repozytorium GitHub: https://github.com/BerriAI/litellm/releases/tag/v1.83.7-stable

Kogo dotyczy

LiteLLM (BerriAI) w wersjach od 1.81.16 do przed 1.83.7

Uwagi

Podatność jest aktywnie exploitowana — figuruje w katalogu CISA Known Exploited Vulnerabilities. Podatność dotyczy instancji LiteLLM dostępnych przez sieć bez wymogu uwierzytelnienia (PR:N, UI:N), co znacząco zwiększa ryzyko ekspozycji w środowiskach produkcyjnych. Szczegóły opublikowano w security advisory GHSA-r75f-5x8p-qvmc.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Litellm

    APP
    Litellm
    1.81.16 – 1.83.7 (bez)

CISA KEV — szczegółyi

Dostawcai
BerriAI
Produkti
LiteLLM
Data dodania do KEVi
8 maja 2026
Termin remediation (USA)i
11 maja 2026(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z odpowiednimi wytycznymi BOD 22-01 dla usług chmurowych lub wstrzymaj użytkowanie produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

Opis CISAi

BerriAI LiteLLM zawiera podatność SQL injection, która pozwala atakującemu odczytywać dane z bazy danych proxy oraz potencjalnie je modyfikować, co prowadzi do nieautoryzowanego dostępu do proxy i zarządzanych przez niego poświadczeń.

tłumaczenie AI
Pokaż oryginał (EN)

BerriAI LiteLLM contains a SQL injection vulnerability that allows an attacker to read data from the proxy's database and potentially modify it, leading to unauthorized access to the proxy and the credentials it manages.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 11 maja 2026
Tagi
Auth BypassSQLi
CWE
Referencje

Powiązane podatności

CVE-2026-33634CRITICAL9.4⚠ KEVPL ✓ten sam produkt

Atak supply chain na Trivy — złośliwe tagi GitHub Actions i obraz kontenera

CVE-2026-49468CRITICAL9.5PL ✓ten sam produkt

Krytyczna podatność w LiteLLM (AI Gateway) — obejście uwierzytelniania

CVE-2026-35030CRITICAL9.4PL ✓ten sam produkt

LiteLLM: pominięcie uwierzytelnienia JWT przez kolizję klucza cache (Auth Bypass)

CVE-2024-5751CRITICAL9.8PL ✓ten sam produkt

RCE w BerriAI/litellm poprzez endpoint /config/update

CVE-2024-2952CRITICAL9.8PL ✓ten sam produkt

BerriAI LiteLLM – SSTI via Jinja umożliwia RCE przez endpoint /completions