技術的な説明
オープンソースの LiteLLM AI ゲートウェイにおける重大な SQL インジェクション脆弱性(CVSS 9.3)により、認証されていない攻撃者がプロキシ API キー検証中にデータベースの内容にアクセスして変更できます。この欠陥は、データベースクエリに呼び出し元から提供された値がパラメータ化クエリの代わりにクエリ文字列に直接含まれており、認証前に脆弱性がトリガーされるため、完全に認証前のものです。Sysdig は、攻撃者が API キー、プロバイダー認証情報、および環境変数構成を含む3つのデータベーステーブルを具体的にターゲットにしていることを観察しました。
攻撃経路
認証されていない攻撃者は、LiteLLM プロキシによって公開されているいずれかの LLM API ルートに特別に細工された Authorization ヘッダーを送信します。悪意のある入力は、認証チェックの前に キー検証中に実行される SQL クエリに組み込まれます。その後、攻撃者はデータベースに保存された認証情報を読み取るか、データを変更できるため、認証情報の盗難と接続された LLM プロバイダーへの潜在的なラテラルムーブメントが可能になります。
影響を受けるシステム
2026年4月20日にリリースされたパッチより前の LiteLLM プロキシデプロイメント。LiteLLM は、アプリケーションと LLM プロバイダー(OpenAI、Anthropic、Azure OpenAI など)の間に位置する広く使用されているオープンソース AI ゲートウェイで、認証、ロードバランシング、およびコスト追跡を処理します。LLM API アクセスを管理するために LiteLLM を使用している組織はすべて影響を受けます。
緩和策
LiteLLM を直ちに2026年4月20日にリリースされたパッチ版にアップグレードしてください。4月24日(GitHub Advisory データベースにアドバイザリがインデックスされた時点)からパッチ展開までの間に、疑わしい Authorization ヘッダーまたは SQL エラーについてプロキシアクセスログを確認してください。LiteLLM データベースに保存されているすべての API キーおよびプロバイダー認証情報をローテーションしてください。アクティブな悪用がターゲット認証情報テーブルを対象としていることが観察されています。ネットワークセグメンテーションを実装して、LiteLLM プロキシの露出を制限してください。