LiteLLM是一款开源大语言模型统一接入网关与Python SDK,可通过兼容OpenAI的标准API接口,统一调度OpenAI、Anthropic、Google等大模型服务。
近日,监测到LiteLLM存在SQL注入漏洞(CVE-2026-42208),该漏洞源于代理在进行API密钥验证时,直接将调用方传入的密钥值拼接到数据库查询语句中,未使用参数化查询或安全转义。远程未认证攻击者可利用构造的 Authorization头,无需权限即可执行恶意SQL指令,成功利用后可读取、篡改代理数据库数据,获取代理权限及托管的各类凭证密钥,实现未授权访问与权限提升。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
1.81.16 <= LiteLLM < 1.83.7
三、修复建议
官方已发布安全补丁,请及时更新至最新版本:
LiteLLM >= 1.83.7
