Vulnérabilité critique de la passerelle LiteLLM permettant la compromission de la base de données
Les chercheurs en sécurité ont découvert le CVE-2026-42208 le 25 avril 2026, une vulnérabilité critique d'injection SQL dans la passerelle open-source LiteLLM qui permet aux attaquants d'exécuter des requêtes de base de données arbitraires. La faille affecte le mécanisme d'authentification dans les versions de LiteLLM antérieures à 1.35.8, permettant un accès non autorisé aux configurations sensibles des modèles d'IA et aux données des utilisateurs.
LiteLLM sert d'interface unifiée pour plusieurs fournisseurs de grands modèles de langage, y compris OpenAI, Anthropic et Gemini de Google. Les organisations l'utilisent pour gérer les appels API, mettre en œuvre des limitations de taux et surveiller l'utilisation à travers différents services d'IA. La vulnérabilité provient d'une validation d'entrée incorrecte dans le module d'authentification des utilisateurs de la passerelle, où des requêtes spécialement conçues peuvent contourner les contrôles de sécurité.
Le vecteur d'attaque ne nécessite aucune authentification, ce qui le rend particulièrement dangereux pour les déploiements LiteLLM exposés à Internet. Les attaquants peuvent exploiter la faille en envoyant des requêtes HTTP malveillantes au point de connexion de la passerelle, injectant des commandes SQL qui s'exécutent avec des privilèges de base de données. Les chercheurs en sécurité de GBHackers ont confirmé des tentatives d'exploitation active ciblant des instances LiteLLM exposées dans des environnements cloud.
La vulnérabilité a été initialement signalée via le programme de divulgation responsable de LiteLLM par la chercheuse en sécurité Maria Santos de CyberDefense Labs. Les mainteneurs ont reconnu le rapport dans les 24 heures et ont publié un correctif le 27 avril 2026. Cependant, des tentatives d'exploitation ont commencé à apparaître dans les journaux de pots de miel quelques heures après l'attribution du CVE, suggérant que les acteurs de la menace ont rapidement militarisé le code de preuve de concept.
La popularité de LiteLLM dans les déploiements d'IA en entreprise rend cette vulnérabilité particulièrement préoccupante. La passerelle traite des millions de requêtes API quotidiennement pour les organisations mettant en œuvre des applications alimentées par l'IA, des chatbots et des systèmes de génération de contenu automatisés. Une exploitation réussie pourrait exposer non seulement les configurations des modèles d'IA mais aussi les données des applications en aval et les interactions des utilisateurs.
Les organisations utilisant des versions vulnérables de LiteLLM font face à une exposition des données
Toutes les installations de LiteLLM exécutant les versions 1.35.7 et antérieures sont vulnérables au CVE-2026-42208. Cela inclut à la fois les déploiements auto-hébergés et les instances conteneurisées fonctionnant dans Docker, Kubernetes ou des plateformes cloud comme AWS ECS et Google Cloud Run. Les organisations utilisant LiteLLM comme proxy pour l'accès aux modèles d'IA dans des environnements de production courent le plus grand risque en raison de la nature sensible des identifiants API stockés et des configurations de modèles.
La vulnérabilité impacte particulièrement les entreprises qui ont intégré LiteLLM dans leurs flux de travail de développement d'IA. Ces organisations stockent généralement plusieurs clés API pour différents fournisseurs de LLM, des jetons d'authentification utilisateur et des journaux d'utilisation détaillés dans la base de données de la passerelle. Une attaque d'injection SQL réussie pourrait exposer toutes ces informations, entraînant potentiellement une utilisation non autorisée des modèles d'IA, un vol de données et des violations de conformité sous des réglementations comme le RGPD et le CCPA.
Les déploiements natifs cloud utilisant des graphiques Helm LiteLLM populaires ou des configurations Docker Compose sont particulièrement à risque s'ils exposent directement la passerelle à Internet sans couches d'authentification supplémentaires. Les équipes de sécurité doivent immédiatement auditer leurs déploiements LiteLLM, en particulier ceux accessibles depuis des réseaux externes ou intégrés à des applications destinées aux clients. Le catalogue des vulnérabilités exploitées connues de la CISA inclut désormais le CVE-2026-42208, indiquant que les agences fédérales doivent appliquer le correctif d'ici le 19 mai 2026.
Étapes immédiates de correction et de mitigation pour les déploiements LiteLLM
Les organisations doivent mettre à jour immédiatement vers la version 1.35.8 de LiteLLM pour résoudre le CVE-2026-42208. Le correctif inclut des améliorations de la validation des entrées et des implémentations de requêtes paramétrées qui empêchent les attaques d'injection SQL. Pour les déploiements Docker, mettez à jour le tag de l'image du conteneur à 'ghcr.io/berriai/litellm:main-v1.35.8' ou une version ultérieure. Les utilisateurs de Kubernetes doivent modifier leurs manifestes de déploiement pour référencer la version corrigée et effectuer une mise à jour progressive.
Si une mise à jour immédiate n'est pas possible, mettez en œuvre ces mitigations temporaires : restreignez l'accès réseau aux instances LiteLLM en utilisant des règles de pare-feu ou des groupes de sécurité, déployez un pare-feu d'application web (WAF) avec des règles de protection contre l'injection SQL, et activez une journalisation complète pour détecter les tentatives d'exploitation. Surveillez les journaux de requêtes de base de données pour des instructions SELECT, INSERT ou UPDATE suspectes qui ne correspondent pas aux modèles d'application normaux.
Les administrateurs système doivent également faire tourner toutes les clés API et les jetons d'authentification stockés dans les bases de données LiteLLM après la mise à jour, car la vulnérabilité pourrait avoir exposé ces identifiants aux attaquants. Examinez les journaux d'accès de la semaine dernière pour des modèles d'authentification inhabituels ou des requêtes de base de données qui pourraient indiquer une exploitation réussie. Les organisations utilisant LiteLLM en production devraient envisager de mettre en œuvre des couches de sécurité supplémentaires telles que des passerelles API avec limitation de taux et des proxys d'authentification pour réduire la surface d'attaque.
