黑客正在利用 LiteLLM 高危预认证 SQL 注入漏洞

黑客正在通过一个被追踪为 CVE-2026-42208 的严重漏洞，攻击存储在开源大语言模型网关 LiteLLM 中的敏感信息。

该漏洞是一个 SQL 注入问题，发生在 LiteLLM 的代理 API 密钥验证步骤中。攻击者无需身份认证即可利用它——只需向任意 LLM API 路由发送一个精心构造的 Authorization 请求头即可。

这使得攻击者能够读取并修改代理数据库中的数据。根据维护者发布的安全公告，威胁行为者可利用该漏洞“未经授权访问代理及其管理的凭据”。

LiteLLM 在 1.83.7 版本中已经发布修复方案，通过将字符串拼接替换为参数化查询解决了该问题。

LiteLLM 会存储 API 密钥、虚拟密钥、主密钥以及环境/配置密钥，因此攻击者访问其数据库后，可以读取敏感数据，并用于发起进一步攻击。

LiteLLM 是一款广受欢迎的代理/SDK 中间件层，允许用户通过单一统一 API 调用各类 AI 模型。该项目被开发 LLM 应用和管理多模型平台的开发者广泛使用，在 GitHub 上拥有 4.5万颗星 和 7600个分叉。

该项目近期还遭遇过供应链攻击，黑客组织 TeamPCP 发布了恶意 PyPI 包，部署信息窃取程序，从受感染系统中窃取凭据、令牌和密钥。

云安全公司 Sysdig 的研究人员在报告中指出，CVE-2026-42208 漏洞公开披露后约 36小时，就开始出现被利用的情况。

活跃的利用活动

研究人员观察到，攻击者正在进行有针对性的利用尝试，向 /chat/completions 端点发送带有恶意 Authorization: Bearer 请求头的精心构造请求。

这些请求会查询包含 API 密钥、各厂商（OpenAI、Anthropic、Bedrock）凭据、环境数据和配置信息的特定表。

Sysdig 解释说，攻击者根本没有对非敏感表进行探测，“攻击者直接就找到了密钥所在的位置”，这有力地表明攻击者非常清楚他们的目标是什么。

在攻击的第二阶段，威胁行为者更换了 IP 地址（很可能是为了规避检测），重新发起相同的 SQL 注入尝试，但这一次他们根据第一阶段获取到的信息，精准定位到正确的表名和结构，只使用更少、更精准的有效载荷。

Sysdig 指出，虽然 36 小时不如最近 Marimo 漏洞被利用的速度快，但这次攻击是非常有针对性的。

研究人员警告，仍然运行着易受攻击版本的暴露在外的 LiteLLM 实例都应被视为可能已被入侵。所有存储在公网暴露 LiteLLM 实例中的虚拟 API 密钥、主密钥和厂商凭据都必须立即轮换。

对于无法升级到 LiteLLM 1.83.7 及更高版本的用户，维护者建议采取临时解决方案：在 general_settings 下设置 disable_error_logs: true，以此阻断恶意输入到达易受攻击查询的路径。