技術的な説明
オープンソース LiteLLM AI ゲートウェイの重大な SQL インジェクション脆弱性 (CVSS 9.3) により、認証なしの攻撃者がプロキシ API キー検証中にデータベースの内容にアクセスし、変更できます。この欠陥は、データベースクエリに呼び出し元から提供された値を直接クエリ文字列に含めるため発生し、パラメータ化クエリを使用していません。脆弱性は認証前にトリガーされるため、完全な認証前攻撃です。Sysdig は攻撃者が API キー、プロバイダー認証情報、環境変数設定を含む 3 つのデータベーステーブルを特に狙っていることを観察しました。
攻撃経路
認証なしの攻撃者が、LiteLLM プロキシによって公開されている任意の LLM API ルートに特別に細工された Authorization ヘッダーを送信します。悪意のある入力は、認証チェックの前にキー検証中に実行される SQL クエリに組み込まれます。攻撃者はデータベースに保存された認証情報を読み取るか、データを変更でき、認証情報の盗難と接続された LLM プロバイダーへの潜在的な横展開が可能になります。
影響を受けるシステム
2026 年 4 月 20 日にリリースされたパッチより前の LiteLLM プロキシデプロイメント。LiteLLM は広く使用されているオープンソース AI ゲートウェイで、アプリケーションと LLM プロバイダー (OpenAI、Anthropic、Azure OpenAI など) の間に位置し、認証、ロードバランシング、およびコスト追跡を処理します。LLM API アクセスを管理するために LiteLLM を使用しているすべての組織が影響を受けます。
緩和策
2026 年 4 月 20 日にリリースされたパッチ版に LiteLLM をすぐにアップグレードしてください。プロキシアクセスログで、4 月 24 日 (アドバイザリが GitHub Advisory データベースにインデックスされた時点) からパッチデプロイメント間で疑わしい Authorization ヘッダーまたは SQL エラーを確認してください。LiteLLM データベースに保存されているすべての API キーおよびプロバイダー認証情報をローテーションしてください。認証情報テーブルを狙ったアクティブな悪用が観察されています。LiteLLM プロキシの露出を制限するためにネットワークセグメンテーションを実装してください。