Penjelasan teknis
Kerentanan SQL injection kritis (CVSS 9.3) dalam gateway AI LiteLLM open-source memungkinkan penyerang yang tidak terauthentikasi untuk mengakses dan memodifikasi isi database selama verifikasi kunci API proxy. Flaw terjadi karena query database mencakup nilai yang disuplai oleh pemanggil secara langsung dalam string query daripada menggunakan parameterized queries, dan kerentanan dipicu sebelum autentikasi, menjadikannya fully pre-auth. Sysdig mengamati penyerang secara spesifik menargetkan tiga tabel database yang berisi kunci API, kredensial provider, dan konfigurasi variabel lingkungan.
Vektor serangan
Penyerang yang tidak terauthentikasi mengirimkan Authorization header yang dirancang khusus ke rute API LLM apa pun yang diekspos oleh proxy LiteLLM. Input berbahaya dimasukkan ke dalam query SQL yang dieksekusi selama verifikasi kunci, sebelum pemeriksaan autentikasi apa pun. Penyerang kemudian dapat membaca kredensial yang disimpan dalam database atau memodifikasi data, memungkinkan pencurian kredensial dan pergerakan lateral potensial ke provider LLM yang terhubung.
Sistem yang terdampak
Deployment proxy LiteLLM sebelum patch yang dirilis pada 20 April 2026. LiteLLM adalah gateway AI open-source yang banyak digunakan yang berada di antara aplikasi dan provider LLM (OpenAI, Anthropic, Azure OpenAI, dll.), menangani autentikasi, load balancing, dan pelacakan biaya. Organisasi apa pun yang menggunakan LiteLLM untuk mengelola akses API LLM terpengaruh.
Mitigasi
Upgrade LiteLLM segera ke versi yang dipatch yang dirilis pada 20 April 2026. Tinjau log akses proxy untuk Authorization header yang mencurigakan atau kesalahan SQL antara 24 April (ketika advisory diindeks dalam database GitHub Advisory) dan deployment patch. Rotasi semua kunci API dan kredensial provider yang disimpan dalam database LiteLLM, karena eksploitasi aktif diamati menargetkan tabel kredensial. Implementasikan segmentasi jaringan untuk membatasi eksposur proxy LiteLLM.