CVE-2026-42208 w LiteLLM: krytyczne SQL Injection wykorzystane już 36 godzin po ujawnieniu - Security Bez Tabu

CVE-2026-42208 w LiteLLM: krytyczne SQL Injection wykorzystane już 36 godzin po ujawnieniu

Cybersecurity news

Wprowadzenie do problemu / definicja

CVE-2026-42208 to krytyczna podatność typu SQL Injection w projekcie LiteLLM, wykorzystywanym jako warstwa pośrednicząca do zarządzania ruchem do modeli językowych, kontrolą dostępu oraz obsługą kluczy API dostawców usług AI. Luka występowała w procesie weryfikacji klucza API po stronie proxy, gdzie niebezpiecznie przetwarzana wartość wejściowa mogła wpływać na zapytania kierowane do bazy danych.

W praktyce oznaczało to możliwość nieautoryzowanego odczytu danych wrażliwych, a w określonych warunkach także ryzyko ich modyfikacji. Szczególnie niepokojące jest to, że atak mógł zostać uruchomiony jeszcze przed poprawnym uwierzytelnieniem użytkownika.

W skrócie

Podatność została publicznie ujawniona w kwietniu 2026 roku i bardzo szybko zaczęła być wykorzystywana w rzeczywistych atakach. Według obserwacji badaczy pierwsze próby nadużyć pojawiły się około 36 godzin po publikacji informacji o luce.

  • dotyczyła wersji LiteLLM od 1.81.16 do 1.83.6,
  • umożliwiała atak bez posiadania poprawnych danych logowania,
  • wykorzystywała spreparowany nagłówek Authorization,
  • prowadziła do enumeracji schematu bazy danych,
  • została załatana w wersji 1.83.7.

Kontekst / historia

LiteLLM jest szeroko wykorzystywany w środowiskach deweloperskich i produkcyjnych jako centralna warstwa integracyjna dla wielu modeli oraz dostawców LLM. Takie rozwiązania upraszczają zarządzanie dostępem, rozliczanie użycia i dystrybucję ruchu, ale jednocześnie koncentrują w jednym miejscu dużą liczbę sekretów, poświadczeń i ustawień środowiskowych.

Przypadek CVE-2026-42208 pokazuje, że infrastruktura AI stała się pełnoprawnym celem ataków. Bramy API dla modeli językowych, proxy i systemy zarządzające kluczami są dziś równie atrakcyjne dla napastników jak klasyczne panele administracyjne, narzędzia CI/CD czy publicznie dostępne interfejsy zarządzania.

Analiza techniczna

Źródłem problemu był sposób budowania zapytania SQL podczas weryfikacji klucza API w module proxy. Zamiast bezpiecznej parametryzacji, wartość dostarczona przez klienta była osadzana bezpośrednio w treści zapytania. To klasyczny wzorzec prowadzący do SQL Injection.

Najistotniejszym elementem scenariusza ataku był charakter pre-auth. Atakujący nie musiał dysponować ważnym tokenem ani prawidłowym kontem. Wystarczyło wysłać odpowiednio spreparowany nagłówek Authorization do jednego z endpointów API, takich jak obsługa żądań czatu, aby uruchomić podatną logikę w ścieżce obsługi błędów i doprowadzić do wykonania niebezpiecznego zapytania.

Zaobserwowane działania nie wyglądały na przypadkowe skanowanie internetu. Badacze wskazali na bardziej ukierunkowaną aktywność skoncentrowaną na rozpoznaniu schematu produkcyjnej bazy LiteLLM. Szczególne zainteresowanie budziły tabele przechowujące wirtualne klucze API, poświadczenia dostawców upstream oraz konfigurację środowiskową proxy. Taki dobór celów sugeruje dobrą znajomość architektury aplikacji i wysoką wartość operacyjną przechowywanych tam danych.

Konsekwencje / ryzyko

Skutki wykorzystania tej luki mogą być poważne zarówno dla bezpieczeństwa danych, jak i ciągłości działania usług AI. W najprostszym scenariuszu napastnik uzyskuje dostęp do informacji przechowywanych w bazie danych proxy, w tym do kluczy API, danych konfiguracyjnych, metadanych użytkowników czy ustawień tenantów.

Ryzyko nie kończy się jednak na odczycie. Jeśli warstwa bazy danych i aplikacja posiadają odpowiednie uprawnienia, możliwa może być również modyfikacja rekordów. To otwiera drogę do podstawienia własnych kluczy, zmiany konfiguracji proxy, manipulacji politykami dostępu oraz przygotowania środowiska pod dalszą eskalację uprawnień lub wtórne nadużycia finansowe związane z wykorzystaniem zewnętrznych usług AI.

Szczególnie niebezpieczne jest to, że podatność dotyka centralnej bramy do usług AI. W takich systemach skupione są sekrety, zależności integracyjne i logika kontroli dostępu. Jeśli komponent tego typu jest wystawiony do sieci publicznej, czas reakcji na podobną lukę powinien być liczony w godzinach, a nie dniach.

Rekomendacje

Podstawowym działaniem jest niezwłoczna aktualizacja LiteLLM do wersji 1.83.7 lub nowszej. Organizacje korzystające z podatnych wydań powinny potraktować ten przypadek jak potencjalny incydent bezpieczeństwa, a nie tylko standardową czynność z obszaru patch management.

  • zidentyfikować wszystkie instancje LiteLLM, także w środowiskach testowych i deweloperskich,
  • potwierdzić używaną wersję oraz zakres publicznej ekspozycji endpointów proxy,
  • przeanalizować logi HTTP i aplikacyjne pod kątem nietypowych nagłówków Authorization, błędów SQL i prób enumeracji schematu,
  • zweryfikować, czy w bazie danych nie pojawiły się nieautoryzowane zmiany w tabelach z kluczami, poświadczeniami i konfiguracją,
  • obrócić wszystkie sekrety przechowywane przez proxy, jeśli istnieje choćby częściowe podejrzenie dostępu do danych,
  • ograniczyć ekspozycję publiczną poprzez segmentację sieci, listy kontroli dostępu i dodatkowe warstwy uwierzytelniania,
  • dodać wskaźniki kompromitacji do systemów monitoringu i detekcji,
  • jeśli natychmiastowa aktualizacja nie jest możliwa, wdrożyć obejście konfiguracyjne polegające na wyłączeniu logów błędów przez ustawienie disable_error_logs: true.

Z perspektywy strategicznej zespoły bezpieczeństwa powinny traktować AI gateway jako systemy wysokiej krytyczności. To już nie tylko warstwa integracyjna, lecz także koncentrator tożsamości, kosztów i sekretów dla całego ekosystemu usług opartych na modelach językowych.

Podsumowanie

CVE-2026-42208 jest wyraźnym sygnałem, że infrastruktura AI znajduje się dziś w centrum zainteresowania atakujących. W LiteLLM pojedynczy błąd SQL Injection w krytycznej ścieżce uwierzytelniania umożliwił ataki bez potrzeby posiadania ważnych poświadczeń, a pierwsze próby wykorzystania wykryto zaledwie 36 godzin po ujawnieniu luki.

Dla organizacji korzystających z bram LLM i proxy API oznacza to konieczność stosowania tych samych standardów bezpieczeństwa, które od dawna obowiązują dla najbardziej wrażliwych elementów infrastruktury produkcyjnej. Szybkie łatanie, monitoring, rotacja sekretów i ograniczanie ekspozycji powinny być tu standardem, a nie reakcją awaryjną.

Źródła

  1. Security Affairs — https://securityaffairs.com/191483/hacking/cve-2026-42208-litellm-bug-exploited-36-hours-after-its-disclosure.html
  2. Sysdig Blog — CVE-2026-42208: Targeted SQL injection against LiteLLM’s authentication path discovered 36 hours following vulnerability disclosure — https://www.sysdig.com/blog/cve-2026-42208-targeted-sql-injection-against-litellms-authentication-path-discovered-36-hours-following-vulnerability-disclosure
  3. Sysdig Newsroom — CVE-2026-42208 coverage reference — https://www.sysdig.com/newsroom/press-releases