Katalog CVE

Aktywnie wykorzystywana w atakach

BerriAI LiteLLM SQL Injection Vulnerability

BerriAI — LiteLLM · Figuruje w katalogu CISA KEV od 2026-05-08. Oznacza to potwierdzone ataki w środowisku produkcyjnym.

Wymagane działanie: Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

CVE-2026-42208

KrytyczneCVSS 9.8KEV
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Bardzo wysokie ryzyko
83.45%

Percentyl 100 — wyżej niż 100% wszystkich znanych CVE

Streszczenie

W wersjach LiteLLM od 1.81.16 do 1.83.7 występuje podatność polegająca na wstrzykiwaniu zapytań SQL podczas sprawdzania kluczy API. Niezautoryzowany atakujący może wysłać spreparowany nagłówek Authorization, co prowadzi do odczytu i potencjalnej modyfikacji danych w bazie proxy.

Ocena ryzyka

Atakujący może uzyskać nieautoryzowany dostęp do proxy oraz zarządzanych przez nie poświadczeń, co może skutkować wyciekiem wrażliwych danych i przejęciem kontroli nad systemem.

Rekomendacja

Należy natychmiast zaktualizować LiteLLM do wersji 1.83.7 lub nowszej, która zawiera poprawkę eliminującą podatność na wstrzykiwanie SQL.

Oryginalny opis (angielski, źródło NVD)

LiteLLM is a proxy server (AI Gateway) to call LLM APIs in OpenAI (or native) format. From version 1.81.16 to before version 1.83.7, a database query used during proxy API key checks mixed the caller-supplied key value into the query text instead of passing it as a separate parameter. An unauthenticated attacker could send a specially crafted Authorization header to any LLM API route (for example POST /chat/completions) and reach this query through the proxy's error-handling path. An attacker could read data from the proxy's database and may be able to modify it, leading to unauthorised access to the proxy and the credentials it manages. This issue has been patched in version 1.83.7.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS