CVE-2026-42208 : injection SQL pré-auth dans LiteLLM exploitée en 36 heures
CVE-2026-42208 (CVSS 9.3) cible LiteLLM, le gateway AI proxy de 100+ LLMs : injection SQL dans le path d'authentification expose toutes les clés provider. Exploitée en production 36 h après divulgation. Patchée en v1.83.7.
LiteLLM est devenu une infrastructure critique dans beaucoup de stacks AI en production : une API unifiée qui proxy les appels vers OpenAI, Anthropic, Google Vertex, AWS Bedrock, Azure et une centaine d'autres providers. Sa popularité en fait une cible de choix — et la faille divulguée le 28 avril 2026 illustre ce que coûte une injection SQL dans un composant aussi central de la chaîne d'appel LLM.
La faille
CVE-2026-42208 est une injection SQL pré-authentification dans le chemin de vérification des clés API du proxy LiteLLM. CVSS : 9.3.
Dans les versions affectées (≥ 1.81.16, < 1.83.7), le proxy vérifie les clés Bearer en effectuant un SELECT contre la table LiteLLM_VerificationToken. Le bug : la valeur du token est concaténée directement dans le texte de la requête sans binding de paramètre :
# Vulnérable — versions < 1.83.7
query = f"SELECT * FROM LiteLLM_VerificationToken WHERE token = '{bearer_value}'"
Une simple apostrophe dans le header Authorization permet d'échapper la chaîne et d'injecter du SQL arbitraire. L'attaquant peut atteindre ce chemin via n'importe quelle route LLM — par exemple POST /chat/completions — sans posséder de clé API valide.
Impact
Ce qui rend cette faille particulièrement sérieuse : LiteLLM stocke dans sa base de données les clés API de tous les providers en amont. Les tables ciblées par les attaquants observés en production incluent :
litellm_credentials.credential_values— clés API des providers (OpenAI, Anthropic, Bedrock…)litellm_config— configuration runtime du proxy
La compromission de ces tables équivaut à l'exfiltration de tous les accès LLM configurés dans l'instance : usage frauduleux, espionnage des requêtes, exfiltration des prompts et des réponses générées.
Timeline
| Date | Événement |
|---|---|
| 19 avril 2026 | BerriAI publie v1.83.7-stable avec requêtes paramétrées |
| ~27–28 avril 2026 | Divulgation publique coordonnée, CVE-2026-42208 assigné |
| 28–29 avril 2026 | Exploitation active détectée en production (Sysdig), < 36 h après divulgation |
Correction et mitigation
La correction est dans v1.83.7-stable : la concaténation de chaîne a été remplacée par des requêtes paramétrées. La mise à jour est la seule remédiation complète.
En attendant un patch, BerriAI recommande de définir disable_error_logs: true sous general_settings — cette option supprime le chemin de code par lequel l'entrée non filtrée atteint la requête vulnérable.
Si une mise à jour immédiate est impossible : restreindre l'accès réseau au port du proxy LiteLLM et auditer les logs pour des patterns Authorization inhabituels contenant des apostrophes ou des séquences SQL (UNION, SELECT, --).
LiteLLM est un point d'entrée unique vers l'ensemble des providers LLM d'une organisation. Une instance compromise expose simultanément le budget API, les données traitées et les configurations de tous les modèles — un rayon de blast considérable pour une faille dans un seul composant.
The Hacker News — CVE-2026-42208 · Sysdig — exploitation 36 h post-divulgation · Snyk Advisory SNYK-PYTHON-LITELLM-16300164 · Releases LiteLLM — v1.83.7