LiteLLM CVE-2026-42208 SQL Injection Exploited within 36 Hours of Disclosure

LiteLLM CVE-2026-42208 SQL Injection Dieksploitasi dalam 36 Jam Setelah Dilaporkan

Dalam waktu singkat, sebuah kerentanan keamanan kritis pada paket Python LiteLLM milik BerriAI telah dieksploitasi oleh aktor ancaman dalam 36 jam setelah dilaporkan. Kerentanan ini, yang diberi kode CVE-2026-42208 (skor CVSS: 9,3), adalah injeksi SQL yang dapat dieksploitasi untuk memodifikasi database proxy LiteLLM.

Detil Kerentanan

Menurut pemelihara LiteLLM, "sebuah query database yang digunakan selama pengecekan kunci API proxy mencampur nilai kunci yang disediakan oleh pemanggil ke dalam teks query, bukan melewatkannya sebagai parameter yang terpisah." Ini memungkinkan serangan tanpa autentikasi untuk mengirimkan header Otorisasi khusus ke rute API LLM (misalnya, POST /chat/completions) dan mencapai query ini melalui jalur pengolahan kesalahan proxy.

Aktor ancaman dapat membaca data dari database proxy dan mungkin juga dapat memodifikasinya, mengakibatkan akses tanpa izin ke proxy dan kredensial yang dikelolanya. Kerentanan ini memengaruhi versi >=1.81.16 dan <1.83.7.

Eksploitasi

Meskipun kerentanan ini telah diperbaiki dalam versi 1.83.7-stable yang dirilis pada 19 April 2026, upaya eksploitasi pertama tercatat pada 26 April pukul 16:17 UTC, sekitar 26 jam dan 7 menit setelah advis GitHub diindeks dalam Basis Data Advisori GitHub global.

Aktivitas injeksi SQL, menurut Sysdig, berasal dari alamat IP 65.111.27[.]132. "Aktivitas berbahaya terbagi menjadi dua fase yang dipimpin oleh operator yang sama di dua alamat egress IP yang berbeda, diikuti oleh penyelidikan singkat tanpa autentikasi pada titik akhir pengelolaan kunci," kata peneliti keamanan Michael Clark.

Aktor ancaman tidak teridentifikasi ini diyakini telah menargetkan tabel database seperti "litellm_credentials.credential_values" dan "litellm_config" yang menyimpan informasi terkait kunci penyedia LLM besar dan lingkungan runtime proxy. Tidak ada penyelidikan yang diamati pada tabel seperti "litellm_users" atau "litellm_team".

Rekomendasi

Pengguna disarankan untuk memperbarui instans mereka ke versi terbaru. Jika ini tidak memungkinkan, pemelihara merekomendasikan mengatur "disable_error_logs: true" di bawah "general_settings" untuk menghapus jalur yang digunakan oleh input tidak tepercaya untuk mencapai query yang rentan.

"Kerentanan LiteLLM (GHSA-r75f-5x8p-qvmc) melanjutkan pola modal untuk advisori infrastruktur AI: kritis, pre-otomatisasi, dan dalam perangkat lunak dengan jumlah bintang lima digit yang operator percayai untuk memusatkan kredensial cloud-grade," tambah Sysdig.