FixVibe
Covered by FixVibecritical

LiteLLM Proxy SQL Injection (CVE-2026-42208)

Eng kritesch SQL Injektioun Schwachstelle (CVE-2026-42208) an der LiteLLM Proxy Komponent erlaabt Ugräifer d'Authentifizéierung ëmzegoen oder op sensibel Datebankinformatioun ze kommen andeems se den API Schlësselverifizéierungsprozess ausnotzen.

CVE-2026-42208GHSA-r75f-5x8p-qvmcCWE-89

Impakt

LiteLLM Versiounen 1.81.16 bis 1.83.7 enthalen eng kritesch SQL Injektioun Schwachstelle bannent dem Proxy API Schlësselverifizéierungsmechanismus [S1]. Erfollegräich Ausbeutung erlaabt en onauthentifizéierten Ugräifer d'Sécherheetskontrolle ëmzegoen oder onerlaabt Datebankoperatiounen [S1] auszeféieren. Dës Schwachstelle gëtt e CVSS Score vun 9.8 zougewisen, wat säin héijen Impakt op Systemvertraulechkeet an Integritéit reflektéiert [S2].

Root Ursaach

D'Schwachheet existéiert well de LiteLLM Proxy net fäeg ass den API-Schlëssel richteg ze desinfizéieren oder ze parameteriséieren, deen am Authorization-Header geliwwert gëtt, ier en an enger Datebankquery [S1] benotzt gëtt. Dëst erlaabt béiswëlleg SQL Kommandoen, déi am Header agebonne sinn, vun der Backend Datebank [S3] auszeféieren.

Betraff Versiounen

  • LiteLLM: Versiounen 1.81.16 bis (awer net abegraff) 1.83.7 [S1].

Beton Fixes

  • Update LiteLLM: Upgrade direkt den litellm Package op Versioun 1.83.7 oder méi spéit fir den Injektiounsfehler [S1] ze patchen.
  • Audit Datebank Logbicher: Iwwerpréift Datebank Zougang Logbicher fir ongewéinlech Ufro Musteren oder onerwaart Syntax aus dem Proxy Service [S1].

Detektiounslogik

Sécherheetsteams kënnen d'Beliichtung identifizéieren duerch:

  • Versioun Scannen : Iwwerpréift Ëmfeld manifestéiert fir LiteLLM Versiounen am betraffene Beräich (1.81.16 bis 1.83.6) [S1].
  • Header Iwwerwachung: Inspektioun vun erakommen Ufroen un de LiteLLM Proxy fir SQL Injektiounsmuster speziell am Authorization: Bearer Tokenfeld [S1].