In einem Szenario schneller Ausnutzung wurde eine neu bekannt gewordene kritische Sicherheitslücke im Python-Paket **LiteLLM** von **BerriAI** innerhalb von 36 Stunden nach öffentlicher Bekanntgabe aktiv ausgenutzt. Dies unterstreicht die zunehmende Geschwindigkeit, mit der Bedrohungsakteure neu entdeckte Schwachstellen nutzen. ### Details zur Schwachstelle: CVE-2026-42208 Die Schwachstelle, verfolgt als **CVE-2026-42208** (CVSS-Score: 9.3), ist eine SQL-Injection, die ausgenutzt werden könnte, um die zugrunde liegende **LiteLLM**-Proxy-Datenbank zu modifizieren. Laut den **LiteLLM**-Maintainern rührt die Schwachstelle von einer Datenbankabfrage her, die während der Überprüfung von Proxy-API-Schlüsseln verwendet wird, wobei der vom Aufrufer bereitgestellte Schlüsselwert nicht ordnungsgemäß behandelt wurde. "Eine Datenbankabfrage, die während der Überprüfung von Proxy-API-Schlüsseln verwendet wird, mischte den vom Aufrufer bereitgestellten Schlüsselwert in den Abfragetext ein, anstatt ihn als separaten Parameter zu übergeben", sagten die **LiteLLM**-Maintainer in einer Sicherheitsberatung. Ein nicht authentifizierter Angreifer könnte einen speziell gestalteten Authorization-Header an eine beliebige LLM-API-Route (z. B. POST /chat/completions) senden und die anfällige Abfrage über den Fehlerbehandlungs-Pfad des Proxys auslösen. Eine erfolgreiche Ausnutzung könnte es Angreifern ermöglichen, die Datenbank des Proxys zu lesen und zu modifizieren, was zu unbefugtem Zugriff auf den Proxy und die von ihm verwalteten Anmeldeinformationen führt. ### Betroffene Versionen Die Schwachstelle betrifft die folgenden Versionen: * >=1.81.16 * <1.83.7 ### Schnelle Ausnutzung Obwohl die Schwachstelle in Version 1.83.7-stable, veröffentlicht am 19. April 2026, behoben wurde, wurde der erste Ausnutzungsversuch am 26. April, etwas mehr als einen Tag nach der Indizierung der GitHub-Beratung, aufgezeichnet. Laut **Sysdig** stammte die SQL-Injection-Aktivität von der IP-Adresse 65.111.27[.]132. Der Sicherheitsforscher Michael Clark von **Sysdig** stellte fest, dass die bösartige Aktivität aus zwei Phasen bestand, die vom selben Betreiber über zwei benachbarte Egress-IPs gesteuert wurden, gefolgt von einer kurzen nicht authentifizierten Sonde der Schlüsselverwaltungsendpunkte. ### Zielgerichtete Daten Der Angreifer zielte speziell auf Datenbanktabellen wie "litellm_credentials.credential_values" und "litellm_config" ab, die sensible Informationen im Zusammenhang mit Upstream-Schlüsseln von großen Sprachmodell-Anbietern (LLM) und der Proxy-Laufzeitumgebung enthalten. Es wurden keine Sonden gegen Tabellen wie "litellm_users" oder "litellm_team" beobachtet. Dies deutet auf eine gezielte Anstrengung zur Extraktion sensibler Geheimnisse hin. Die zweite Phase des Angriffs, die kurz nach der ersten beobachtet wurde, beinhaltete eine ähnliche Sonde von einer anderen IP-Adresse (65.111.25[.]67). ### Risiko der Lieferkette **LiteLLM**, eine beliebte Open-Source-Software für KI-Gateways, wurde kürzlich auch Ziel eines Lieferkettenangriffs durch die **TeamPCP**-Hacking-Gruppe, was die Risiken im Zusammenhang mit KI-Infrastruktur weiter unterstreicht. **Sysdig** betonte die potenziellen Auswirkungen und erklärte: "Eine einzelne litellm_credentials-Zeile enthält oft einen **OpenAI**-Organisationsschlüssel mit fünfstelligen monatlichen Ausgabenlimits, einen **Anthropic**-Konsolenschlüssel mit Administratorrechten für das Workspace und eine **AWS Bedrock** IAM-Anmeldeinformation. Der Schadensradius einer erfolgreichen Datenbankextraktion liegt näher an einer Cloud-Konto-Kompromittierung als an einer typischen Web-App-SQL-Injection." ### Abhilfemaßnahmen Benutzern wird dringend empfohlen, sofort auf die neueste Version (1.83.7 oder höher) zu aktualisieren. Als vorübergehende Abhilfemaßnahme empfehlen die Maintainer, "disable_error_logs: true" unter "general_settings" zu setzen, um den anfälligen Pfad zu entschärfen. ### Wichtigste Erkenntnisse **Sysdig** kommt zu dem Schluss, dass die schnelle Ausnutzung der **LiteLLM**-Schwachstelle die zunehmende Bedrohungslandschaft für KI-Infrastruktur unterstreicht, wobei kritische, vor der Authentifizierung liegende Schwachstellen in Software ausgenutzt werden, die Cloud-fähige Anmeldeinformationen verwaltet. Die Geschwindigkeit der Ausnutzung unterstreicht die Notwendigkeit proaktiver Sicherheitsmaßnahmen und schneller Patches.