Cybersicherheitsforscher berichten über die aktive Ausnutzung einer kritischen Schwachstelle in **LiteLLM**, einem Open-Source-Gateway für LLMs. Die Schwachstelle, identifiziert als **CVE-2026-42208**, ermöglicht es Angreifern, SQL-Injection-Angriffe gegen das Gateway durchzuführen. ## Details zur Schwachstelle Die Schwachstelle liegt im Proxy-API-Schlüssel-Verifizierungsschritt innerhalb von **LiteLLM**. Durch das Senden eines speziell präparierten `Authorization`-Headers an eine beliebige LLM-API-Route kann ein nicht authentifizierter Angreifer diese Schwachstelle ausnutzen. Dies gewährt ihm die Möglichkeit, Daten in der Datenbank des Proxys zu lesen und zu ändern. Laut dem [Sicherheitsratgeber](http://github.com/BerriAI/litellm/security/advisories/GHSA-r75f-5x8p-qvmc) des Maintainers könnten Bedrohungsakteure diese Schwachstelle für "unbefugten Zugriff auf den Proxy und die von ihm verwalteten Anmeldedaten" nutzen. ## Behebung Eine Korrektur für diese Schwachstelle wurde in **LiteLLM** Version 1.83.7 veröffentlicht. Dieses Update ersetzt die String-Verkettung durch parametrisierte Abfragen und mildert damit effektiv das SQL-Injection-Risiko. Da **LiteLLM** sensible Daten wie API-Schlüssel, virtuelle und Master-Schlüssel sowie Umgebung/Konfigurationsgeheimnisse speichert, könnte eine erfolgreiche Ausnutzung zu erheblichen Sicherheitsverletzungen führen. ## LiteLLM Überblick **LiteLLM** ist eine weit verbreitete Proxy/SDK-Middleware, die eine einheitliche API für den Aufruf verschiedener KI-Modelle bietet. Sie vereinfacht die Verwaltung mehrerer Modelle für Entwickler von LLM-Anwendungen und -Plattformen. Das Projekt hat eine beträchtliche Community-Unterstützung mit 45.000 Sternen und 7.600 Forks auf [GitHub](https://github.com/BerriAI/litellm). Bemerkenswerterweise wurde **LiteLLM** kürzlich in einem [Supply-Chain-Angriff](https://www.bleepingcomputer.com/news/security/popular-litellm-pypi-package-compromised-in-teampcp-supply-chain-attack/) ins Visier genommen, bei dem **TeamPCP**-Hacker das PyPI-Paket kompromittierten und einen Infostealer einsetzten, um Anmeldedaten, Tokens und Geheimnisse von infizierten Systemen zu stehlen. ## Aktive Ausnutzung Forscher von **Sysdig** berichten, dass die Ausnutzung von **CVE-2026-42208** etwa 36 Stunden nach der öffentlichen Offenlegung der Schwachstelle am 24. April begann. Die beobachteten Angriffe beinhalteten präparierte Anfragen an den `/chat/completions`-Endpunkt, die einen bösartigen `Authorization: Bearer`-Header verwendeten. Diese Anfragen zielten auf spezifische Tabellen ab, die API-Schlüssel, Anbieter-Anmeldedaten (z. B. **OpenAI**, **Anthropic**, **Bedrock**), Umgebungsdaten und Konfigurationen enthielten. **Sysdig** stellte fest, dass die Angreifer ein klares Verständnis der Datenbankstruktur zeigten und direkt auf Tabellen mit sensiblen Informationen abzielten. In der zweiten Phase des Angriffs rotierte der Bedrohungsakteur IP-Adressen, wahrscheinlich zu Evadierungszwecken, und verfeinerte seine SQL-Injection-Versuche basierend auf den in der ersten Phase gewonnenen Informationen. Obwohl der Zeitplan der Ausnutzung nicht so schnell war wie bei der [kürzlichen Schwachstelle in Marimo](https://www.bleepingcomputer.com/news/security/critical-marimo-pre-auth-rce-flaw-now-under-active-exploitation/), waren die Angriffe laut **Sysdig** hochgradig gezielt und spezifisch. ## Empfehlungen Sicherheitsexperten werden dringend aufgefordert, alle exponierten **LiteLLM**-Instanzen, die anfällige Versionen ausführen, als potenziell kompromittiert zu betrachten. Es ist unerlässlich, alle virtuellen API-Schlüssel, Master-Schlüssel und Anbieter-Anmeldedaten, die in internetexponierten **LiteLLM**-Instanzen gespeichert sind, zu rotieren. Für diejenigen, die nicht sofort auf **LiteLLM** 1.83.7 oder höher aktualisieren können, steht eine Problemumgehung zur Verfügung: Setzen Sie `disable_error_logs: true` unter `general_settings`, um den Pfad zu blockieren, über den bösartige Eingaben die anfällige Abfrage erreichen können.