Penjelasan teknis
Kerentanan SQL injection kritis (CVSS 9.3) dalam gateway AI LiteLLM open-source memungkinkan penyerang yang tidak terautentikasi mengakses dan memodifikasi konten database selama verifikasi API key proxy. Flaw terjadi karena query database mencakup nilai yang disuplai oleh pemanggil langsung dalam string query daripada menggunakan parameterized queries, dan kerentanan dipicu sebelum autentikasi, menjadikannya fully pre-auth. Sysdig mengamati penyerang secara spesifik menargetkan tiga tabel database yang berisi API keys, kredensial provider, dan konfigurasi environment variable.
Vektor serangan
Penyerang yang tidak terautentikasi mengirimkan Authorization header yang dirancang khusus ke rute LLM API apa pun yang diekspos oleh proxy LiteLLM. Input berbahaya dimasukkan ke dalam query SQL yang dieksekusi selama verifikasi key, sebelum pengecekan autentikasi apa pun. Penyerang kemudian dapat membaca kredensial yang disimpan dalam database atau memodifikasi data, memungkinkan pencurian kredensial dan potensi lateral movement ke provider LLM yang terhubung.
Sistem yang terdampak
Deployment LiteLLM proxy sebelum patch yang dirilis pada 20 April 2026. LiteLLM adalah gateway AI open-source yang banyak digunakan yang berada di antara aplikasi dan provider LLM (OpenAI, Anthropic, Azure OpenAI, dll.), menangani autentikasi, load balancing, dan cost tracking. Organisasi apa pun yang menggunakan LiteLLM untuk mengelola akses API LLM terpengaruh.
Mitigasi
Upgrade LiteLLM segera ke versi yang dipatch dirilis pada 20 April 2026. Tinjau access logs proxy untuk Authorization headers mencurigakan atau SQL errors antara 24 April (ketika advisory diindeks dalam database GitHub Advisory) dan deployment patch. Rotasi semua API keys dan kredensial provider yang disimpan dalam database LiteLLM, karena eksploitasi aktif diamati menargetkan tabel kredensial. Implementasikan network segmentation untuk membatasi eksposur proxy LiteLLM.