📋 漏洞概述

BerriAI LiteLLM 存在 SQL 注入漏洞，攻击者可读取并修改代理数据库，导致凭据泄露与未授权访问。

📋 基础信息

🔬 漏洞根因

LiteLLM 代理在处理用户输入的 SQL 查询参数时，未对特殊字符进行充分过滤或使用参数化查询。攻击者能够通过构造恶意输入注入 SQL 语句，绕过原有的查询逻辑。缺陷通常出现在代理的数据库交互模块中，例如根据用户 ID 或模型名称查询配置时直接拼接字符串。

🎯 攻击场景

1. 前提条件：攻击者能够向 LiteLLM 代理发送合法请求，通常是拥有 API 访问权的用户或通过公开端点触发。2. 攻击者在请求参数（如 `user_id`、`api_key` 或模型名称）中插入 SQL 注入载荷，例如 `' OR '1'='1' --`。3. 代理后端未正确转义，导致拼接后的 SQL 语句变成：`SELECT * FROM credentials WHERE user_id = '' OR '1'='1' --`。4. 成功执行后，攻击者获取代理数据库中存储的所有凭据（包括其他用户的 API Key、模型端点密码等）。5. 攻击者利用窃取的凭据进一步访问后端大模型服务，或修改数据库中的配置行，实现持久化未授权访问。

💥 漏洞影响

攻击者可读取 LiteLLM 代理管理的全部凭据（如 OpenAI/Anyscale 等第三方 API Key），导致敏感数据泄露；进一步可修改数据库内容，劫持模型请求或注入恶意响应，甚至通过代理的数据库链接横向移动到其他内部系统。

🛡️ 修复建议

升级到 BerriAI 官方修复版本；临时措施包括在代理前端部署 Web 应用防火墙（WAF）拦截常见 SQL 注入模式，或对所有用户输入使用参数化查询/预编译语句，并限制代理数据库账户的写入权限。

📎 参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2026-42208
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-42208
• 原始来源（CISA-KEV）

⚠️ 本文由漏洞情报系统自动生成，仅供安全研究与防御参考。生成时间: 2026-05-09 08:02 | 来源: CISA-KEV