Covered by FixVibecritical

代理API密钥验证中的LiteLLM SQL注入（CVE-2026-42208） ZXCVFIXVIBESEND ZXCVFIXVIBESEG1 LiteLLM 版本 1.81.16 至 1.83.6 容易受到代理 API 密钥验证 (CVE-2026-42208) 中关键 SQL 注入的攻击。已于 1.83.7 中修复。 ZXCVFIXVIBESEND ZXCVFIXVIBESEG2 LiteLLM 版本 1.81.16 至 1.83.6 在代理 CVE-2026-42208 密钥验证逻辑中包含严重的 SQL 注入漏洞。此缺陷允许未经身份验证的攻击者绕过身份验证控制或访问底层数据库。该问题已在版本 1.83.7 中得到解决。 ZXCVFIXVIBESEND ZXCVFIXVIBESEG3 ## 影响 ZXCVFIXVIBESEND ZXCVFIXVIBESEG4 LiteLLM在其代理ZXCVFIXVIBETOKEN3ZXCV密钥验证过程CVE-2026-42208中包含一个严重的SQL注入漏洞。此缺陷允许未经身份验证的攻击者绕过安全检查，并可能访问或窃取底层数据库 APIZXCVFIXVIBETOKEN2ZXCV 中的数据。 ZXCVFIXVIBESEND ZXCVFIXVIBESEG5 ## 根本原因 ZXCVFIXVIBESEND ZXCVFIXVIBESEG6 该问题被识别为 ZXCVFIXVIBETOKEN3ZXCV（SQL 注入）CVE-2026-42208。它位于LiteLLM代理组件API的ZXCVFIXVIBETOKEN4ZXCV密钥验证逻辑中。该漏洞源于数据库查询 ZXCVFIXVIBETOKEN2ZXCV 中使用的输入清理不足。 ZXCVFIXVIBESEND ZXCVFIXVIBESEG7 ## 受影响的版本 ZXCVFIXVIBESEND ZXCVFIXVIBESEG8 LiteLLM 版本 1.81.16 至 1.83.6 受此漏洞 CVE-2026-42208 影响。 ZXCVFIXVIBESEND ZXCVFIXVIBESEG9 ## 具体修复 ZXCVFIXVIBESEND ZXCVFIXVIBESEG10 将 LiteLLM 更新到版本 1.83.7 或更高版本以缓解此漏洞 CVE-2026-42208。 ZXCVFIXVIBESEND ZXCVFIXVIBESEG11 ## CVE-2026-42208 如何测试它 ZXCVFIXVIBESEND ZXCVFIXVIBESEG12 ZXCVFIXVIBETOKEN5ZXCV 现在将其包含在 ZXCVFIXVIBETOKEN6ZXCV 存储库扫描中。该检查仅读取授权存储库依赖文件，包括CVE-2026-42208、API、ZXCVFIXVIBETOKEN2ZXCV和ZXCVFIXVIBETOKEN3ZXCV。它标记与受影响范围 ZXCVFIXVIBETOKEN4ZXCV 匹配的 LiteLLM 引脚或版本约束，然后报告依赖文件、行号、咨询 ID、受影响范围和修复版本。 ZXCVFIXVIBESEND ZXCVFIXVIBESEG13 这是静态、只读的存储库检查。它不执行客户代码，也不发送漏洞利用负载。

LiteLLM versions 1.81.16 through 1.83.6 contain a critical SQL injection vulnerability in the Proxy API key verification logic. This flaw allows unauthenticated attackers to bypass authentication controls or access the underlying database. The issue is resolved in version 1.83.7.

CVE-2026-42208GHSA-r75f-5x8p-qvmcCWE-89

Impact

LiteLLM contains a critical SQL injection vulnerability in its Proxy API key verification process [S1]. This flaw allows unauthenticated attackers to bypass security checks and potentially access or exfiltrate data from the underlying database [S1][S3].

Root Cause

The issue is identified as CWE-89 (SQL Injection) [S1]. It is located in the API key verification logic of the LiteLLM Proxy component [S2]. The vulnerability stems from insufficient sanitization of input used in database queries [S1].

Affected Versions

LiteLLM versions 1.81.16 through 1.83.6 are affected by this vulnerability [S1].

Concrete Fixes

Update LiteLLM to version 1.83.7 or higher to mitigate this vulnerability [S1].

How FixVibe tests for it

FixVibe now includes this in GitHub repo scans. The check reads authorized repository dependency files only, including requirements.txt, pyproject.toml, poetry.lock, and Pipfile.lock. It flags LiteLLM pins or version constraints that match the affected range >=1.81.16 <1.83.7, then reports the dependency file, line number, advisory IDs, affected range, and fixed version.

This is a static, read-only repo check. It does not execute customer code and does not send exploit payloads.