LiteLLM 高危 SQL 注入漏洞披露 36 小时即遭定向利用，攻击者直奔三张高价值密钥表

ref

LiteLLM 是 GitHub 22,000+ star 的开源 LLM 网关，被广泛用作 OpenAI、Anthropic、Bedrock 等模型提供商的统一前端。漏洞 CVE-2026-42208（GHSA-r75f-5x8p-qvmc）是一个预身份验证 SQL 注入：受影响版本（≥ 1.81.16，< 1.83.7）将 Authorization: Bearer 头部值未经参数化绑定即拼接进对 LiteLLM_VerificationToken 表的 SELECT 查询，任何能触达 LiteLLM 代理 4000 端口的攻击者都能在无凭据情况下对其 PostgreSQL 后端执行任意 SELECT 语句。漏洞先于 4 月 20 日 21:14 UTC 在 LiteLLM 仓库安全标签下发布，4 月 24 日 16:17 UTC 被全局 GitHub Advisory Database 收录；修复版本 v1.83.7 已用参数化查询替换原拼接逻辑。

Sysdig 威胁研究团队（TRT）观察到首次利用尝试出现在通告进入全局数据库后 36 小时 7 分钟。攻击轨迹显示攻击者并非常见的 SQLmap 通用扫描，而是经过精心定制的定向枚举：源 IP 65.111.27.132（德国 AS200373，3xK Tech GmbH）于 4 月 26 日 04:24 UTC 起以 17 个 UNION 载荷连续打击三张最高价值的表——LiteLLM_VerificationToken（虚拟 API 密钥与主密钥）、litellm_credentials（上游 OpenAI/Anthropic/Bedrock 凭据）、litellm_config（含 Postgres DSN、主密钥、回调 webhook 与缓存配置的环境变量），完全跳过 litellm_users 等无关表。攻击者明显事先阅读了 LiteLLM 的 Prisma schema：先用小写表名失败后立即切换至 PascalCase 引号形式，并以 1/2/3/5/6 列的标准列数枚举法快速锁定查询结构。21 分钟后同 /22 子网内第二个 IP 65.111.25.67 在 25 秒内重发一遍精炼载荷集，并以 OR 1=1-- 与对 /key/generate、/key/info 的未授权探测收尾——典型的自动化 harness 耗尽 payload 后的退化行为。Sysdig 未观察到后续认证调用，但提示所有曾在窗口期暴露公网的 LiteLLM 实例应视同已被入侵：立即升级至 v1.83.7、轮换全部虚拟密钥与上游提供商凭据、审计 /chat/completions 异常 IP 的费用账单。事件再次说明 AI 网关已成为云级凭据的聚合面，单次 SQL 注入的爆炸半径接近"云账号沦陷"。

CVE Record | Sysdig | GitHub Advisory | LiteLLM v1.83.7

CVE-2026-42208: Targeted SQL injection against LiteLLM's authentication path discovered 36 hours following vulnerability disclosure | Sysdig

Critical vulnerability CVE-2026-42208 exposes LiteLLM to pre-auth SQL injection, enabling attackers to extract API keys and credentials. Sysdig analysis reveals targeted exploitation within 36 hours of disclosure.

(webflow.sysdig.com)

GHSA-r75f-5x8p-qvmc - GitHub Advisory Database

GitHub is where people build software. More than 150 million people use GitHub to discover, fork, and contribute to over 420 million projects.

GitHub (github.com)

Release v1.83.7-stable · BerriAI/litellm

Python SDK, Proxy Server (AI Gateway) to call 100+ LLM APIs in OpenAI (or native) format, with cost tracking, guardrails, loadbalancing and logging. [Bedrock, Azure, OpenAI, VertexAI, Cohere, Anthropic, Sagemaker, HuggingFace, VLLM, NVIDIA NIM] - Release v1.83.7-stable · BerriAI/litellm

GitHub (github.com)