En un escenario de explotación rápida, una falla de seguridad crítica recién divulgada en el paquete Python **LiteLLM** de **BerriAI** ha sido explotada activamente dentro de las 36 horas posteriores a su divulgación pública. Esto resalta la creciente velocidad con la que los actores de amenazas están aprovechando las vulnerabilidades recién descubiertas. ### Detalles de la Vulnerabilidad: CVE-2026-42208 La vulnerabilidad, rastreada como **CVE-2026-42208** (puntaje CVSS: 9.3), es una SQL injection que podría ser explotada para modificar la base de datos proxy subyacente de **LiteLLM**. Según los mantenedores de **LiteLLM**, la vulnerabilidad se origina en una consulta a la base de datos utilizada durante las verificaciones de claves API del proxy, donde el valor de la clave proporcionado por el llamador no se manejó adecuadamente. "Una consulta a la base de datos utilizada durante las verificaciones de claves API del proxy mezclaba el valor de la clave proporcionado por el llamador en el texto de la consulta en lugar de pasarlo como un parámetro separado", dijeron los mantenedores de **LiteLLM** en un aviso de seguridad. Un atacante no autenticado podría enviar una cabecera Authorization especialmente diseñada a cualquier ruta de API LLM (por ejemplo, POST /chat/completions) y activar la consulta vulnerable a través de la ruta de manejo de errores del proxy. La explotación exitosa podría permitir a los atacantes leer y modificar la base de datos del proxy, lo que llevaría a un acceso no autorizado al proxy y a las credenciales que administra. ### Versiones Afectadas La vulnerabilidad afecta a las siguientes versiones: * >=1.81.16 * <1.83.7 ### Explotación Rápida Si bien la vulnerabilidad fue parcheada en la versión 1.83.7-stable, lanzada el 19 de abril de 2026, el primer intento de explotación se registró el 26 de abril, poco más de un día después de que se indexara el aviso de GitHub. Según **Sysdig**, la actividad de SQL injection se originó en la dirección IP 65.111.27[.]132. El investigador de seguridad Michael Clark de **Sysdig** señaló que la actividad maliciosa consistió en dos fases impulsadas por el mismo operador a través de dos IPs de egreso adyacentes, seguidas de una breve sonda no autenticada de los puntos finales de gestión de claves. ### Datos Dirigidos El atacante apuntó específicamente a tablas de bases de datos como "litellm_credentials.credential_values" y "litellm_config", que contienen información sensible relacionada con las claves de los proveedores de modelos de lenguaje grandes (LLM) y el entorno de ejecución del proxy. No se observaron sondas contra tablas como "litellm_users" o "litellm_team". Esto sugiere un esfuerzo enfocado para extraer secretos sensibles. La segunda fase del ataque, observada poco después de la primera, implicó una sonda similar desde una dirección IP diferente (65.111.25[.]67). ### Riesgo de Cadena de Suministro **LiteLLM**, un popular software de puerta de enlace de IA de código abierto, también fue atacado recientemente en un ataque a la cadena de suministro por el grupo de hackers **TeamPCP**, lo que resalta aún más los riesgos asociados con la infraestructura de IA. **Sysdig** enfatizó el impacto potencial, declarando: "Una sola fila de litellm_credentials a menudo contiene una clave de organización de **OpenAI** con límites de gasto mensual de cinco cifras, una clave de administrador de espacio de trabajo de consola de **Anthropic** y una credencial IAM de **AWS Bedrock**. El radio de explosión de una extracción exitosa de la base de datos se acerca más a un compromiso de cuenta en la nube que a una SQL injection típica de aplicación web". ### Mitigación Se recomienda encarecidamente a los usuarios que actualicen a la última versión (1.83.7 o posterior) de inmediato. Como solución temporal, los mantenedores recomiendan establecer "disable_error_logs: true" en "general_settings" para mitigar la ruta vulnerable. ### Puntos Clave **Sysdig** concluye que la rápida explotación de la vulnerabilidad de **LiteLLM** subraya el creciente panorama de amenazas para la infraestructura de IA, con vulnerabilidades críticas de pre-autenticación siendo atacadas en software que administra credenciales de nivel de nube. La velocidad de explotación resalta la necesidad de medidas de seguridad proactivas y parches rápidos.