LiteLLM 是 GitHub 22,000+ star 的开源 LLM 网关,被广泛用作 OpenAI、Anthropic、Bedrock 等模型提供商的统一前端。漏洞 CVE-2026-42208(GHSA-r75f-5x8p-qvmc)是一个预身份验证 SQL 注入:受影响版本(≥ 1.81.16,< 1.83.7)将 Authorization: Bearer 头部值未经参数化绑定即拼接进对 LiteLLM_VerificationToken 表的 SELECT 查询,任何能触达 LiteLLM 代理 4000 端口的攻击者都能在无凭据情况下对其 PostgreSQL 后端执行任意 SELECT 语句。漏洞先于 4 月 20 日 21:14 UTC 在 LiteLLM 仓库安全标签下发布,4 月 24 日 16:17 UTC 被全局 GitHub Advisory Database 收录;修复版本 v1.83.7 已用参数化查询替换原拼接逻辑。
Sysdig 威胁研究团队(TRT)观察到首次利用尝试出现在通告进入全局数据库后 36 小时 7 分钟。攻击轨迹显示攻击者并非常见的 SQLmap 通用扫描,而是经过精心定制的定向枚举:源 IP 65.111.27.132(德国 AS200373,3xK Tech GmbH)于 4 月 26 日 04:24 UTC 起以 17 个 UNION 载荷连续打击三张最高价值的表——LiteLLM_VerificationToken(虚拟 API 密钥与主密钥)、litellm_credentials(上游 OpenAI/Anthropic/Bedrock 凭据)、litellm_config(含 Postgres DSN、主密钥、回调 webhook 与缓存配置的环境变量),完全跳过 litellm_users 等无关表。攻击者明显事先阅读了 LiteLLM 的 Prisma schema:先用小写表名失败后立即切换至 PascalCase 引号形式,并以 1/2/3/5/6 列的标准列数枚举法快速锁定查询结构。21 分钟后同 /22 子网内第二个 IP 65.111.25.67 在 25 秒内重发一遍精炼载荷集,并以 OR 1=1-- 与对 /key/generate、/key/info 的未授权探测收尾——典型的自动化 harness 耗尽 payload 后的退化行为。Sysdig 未观察到后续认证调用,但提示所有曾在窗口期暴露公网的 LiteLLM 实例应视同已被入侵:立即升级至 v1.83.7、轮换全部虚拟密钥与上游提供商凭据、审计 /chat/completions 异常 IP 的费用账单。事件再次说明 AI 网关已成为云级凭据的聚合面,单次 SQL 注入的爆炸半径接近"云账号沦陷"。
CVE Record | Sysdig | GitHub Advisory | LiteLLM v1.83.7
https://webflow.sysdig.com/blog/cve-2026-42208-targeted-sql-injection-against-litellms-authentication-path-discovered-36-hours-following-vulnerability-disclosure
https://github.com/advisories/GHSA-r75f-5x8p-qvmc
https://github.com/BerriAI/litellm/releases/tag/v1.83.7-stable