広く使用されているLiteLLMゲートウェイで、認証前のSQLインジェクション脆弱性(CVE-2026-42208)が発見され、機密バックエンドデータベースが無認可アクセスに曝露されています。
セキュリティ研究者は、脅威行為者がこの欠陥を既に積極的に悪用して、APIキーとプロバイダー認証情報を含む高価値のシークレットを盗んでいることを確認しています。
LiteLLMは、アプリケーションをOpenAIやAnthropicなどのプロバイダーの大規模言語モデルに接続するために設計されたオープンソースプロキシです。
この脆弱性は、認証チェック中のAuthorization: Bearerヘッダーの不適切な処理に起因しています。
パラメータ化クエリの実装の失敗により、ユーザーが提供した入力がバックエンドデータベースで直接処理されます。
これにより攻撃者は悪意のあるSQLコマンドを注入できます。この欠陥は認証前のコンポーネントに存在するため、攻撃者はそれを悪用するために有効な認証情報を必要としません。
インターネット経由でアクセスできる公開されたLiteLLMインスタンスは、簡単なターゲットになります。攻撃者は任意のSQLクエリを実行し、機密データを取得し、バックエンド構成を操作する可能性があります。
この問題は2026年4月20日にLiteLLMリポジトリで最初に公開され、公開脆弱性データベースに迅速にインデックスされました。
脅威研究者は、公開から36時間以内に最初の悪用の試みを観察しました。従来の自動化されたSQLインジェクションキャンペーンとは異なり、これらの攻撃は高度にターゲットされており、正確でした。
攻撃者は、列列挙技術を使用してデータベース構造をマッピングすることにより、LiteLLMの内部スキーマの知識を実証しました。
彼らはまた、検出を回避し、永続性を維持するためにIPアドレスをローテーションしました。
これらの攻撃の主な目標は、次を含む重要なテーブルから機密データを抽出することです:
このレベルのアクセスは、AIゲートウェイがエンタープライズスケールのサービスの一元化されたアクセスポイントとしてしばしば機能するため、重大な運用および財務上の影響をもたらす可能性があります。
管理者は、適切なクエリパラメータ化を強制することで脆弱性を修正するLiteLLMバージョン1.83.7にすぐにアップグレードすることを強くお勧めします。
脆弱なバージョンを実行しインターネットに公開されているシステムは、潜在的に侵害されている可能性があるものとして扱う必要があります。
この事件は、攻撃者が新しく公開された脆弱性、特にAIインフラストラクチャに影響するものをいかに素早く武器化するかを強調しています。
標準的な脆弱性データベースにのみ依存することは、対応を遅延させる可能性があり、プロアクティブなモニタリングと迅速なパッチ適用が必須となります。
翻訳元: https://cyberpress.org/litellm-sql-injection-vulnerability/
