LiteLLM 存在预认证 SQL 注入漏洞，无需凭证即可读取 API 密钥

LiteLLM Proxy 组件被发现存在严重的预认证 SQL 注入漏洞（CVE-2026-42208 / GHSA-r75f-5x8p-qvmc），攻击者无需任何有效凭证，即可通过构造 HTTP 请求读取数据库中存储的各厂商大模型 API 密钥。

漏洞详情

该漏洞位于 LiteLLM Proxy 的 API 密钥验证步骤中。在受影响版本（>= 1.81.16, < 1.83.7）中，代理将 Authorization: Bearer header 中的值直接拼接进 SQL 查询语句，未进行参数化处理。攻击者只需在 Bearer token 中插入单引号即可逃逸字符串字面量，追加任意 SQL 语句。

由于注入发生在认证判定之前，属于完全预认证漏洞——任何能访问代理端口的 HTTP 客户端均可利用。

攻击面

通过 UNION SELECT 注入，攻击者可直接读取三个高价值数据表：

• LiteLLM_VerificationToken：虚拟 API 密钥（包括 master key）
• litellm_credentials：存储的 provider 凭证（OpenAI、Anthropic、Bedrock 等）
• litellm_config：代理环境变量配置（含 PostgreSQL DSN、master key 等）

已被利用

Sysdig 威胁研究团队观察到，漏洞公开后仅 36 小时就出现了定向利用尝试。攻击者没有使用通用的 SQLmap 扫描，而是直接针对上述三个高价值表进行精确枚举，表明攻击者已预先了解 LiteLLM 的数据库结构。

修复建议

1. 立即升级至 v1.83.7-stable
2. 轮换所有已存储的 API 密钥，因为漏洞存在期间密钥可能已被窃取
3. 可设置 disable_error_logs: true 作为临时缓解措施

来源: https://www.sysdig.com/blog/cve-2026-42208-targeted-sql-injection-against-litellms-authentication-path-discovered-36-hours-following-vulnerability-disclosure