技术说明
开源LiteLLM AI网关中的关键SQL注入漏洞(CVSS 9.3)允许未经认证的攻击者在代理API密钥验证期间访问和修改数据库内容。该漏洞的产生是因为数据库查询直接在查询字符串中包含调用方提供的值,而不是使用参数化查询,并且该漏洞在认证之前就被触发,使其完全属于认证前漏洞。Sysdig观察到攻击者专门针对包含API密钥、提供商凭据和环境变量配置的三个数据库表。
攻击途径
未经认证的攻击者向LiteLLM代理暴露的任何LLM API路由发送特制的Authorization标头。恶意输入被纳入在密钥验证期间执行的SQL查询中,在任何认证检查之前执行。攻击者随后可以读取存储在数据库中的凭据或修改数据,从而实现凭据盗窃和向连接的LLM提供商的潜在横向移动。
受影响系统
2026年4月20日发布补丁之前的LiteLLM代理部署。LiteLLM是一个广泛使用的开源AI网关,位于应用程序和LLM提供商(OpenAI、Anthropic、Azure OpenAI等)之间,处理认证、负载均衡和成本跟踪。任何使用LiteLLM管理LLM API访问的组织都受到影响。
缓解措施
立即将LiteLLM升级到2026年4月20日发布的修补版本。检查代理访问日志中4月24日(安全公告在GitHub Advisory数据库中被索引时)至部署补丁期间的可疑Authorization标头或SQL错误。轮换存储在LiteLLM数据库中的所有API密钥和提供商凭据,因为观察到针对凭据表的主动利用。实施网络分段以限制LiteLLM代理暴露。