Dans un scénario d'exploitation rapide, une faille de sécurité critique nouvellement divulguée dans le package Python **LiteLLM** de **BerriAI** a été activement exploitée dans les 36 heures suivant sa divulgation publique. Cela souligne la vitesse croissante à laquelle les acteurs malveillants exploitent les vulnérabilités nouvellement découvertes. ### Détails de la vulnérabilité : CVE-2026-42208 La vulnérabilité, suivie sous la référence **CVE-2026-42208** (score CVSS : 9.3), est une SQL injection qui pourrait être exploitée pour modifier la base de données sous-jacente du proxy **LiteLLM**. Selon les mainteneurs de **LiteLLM**, la vulnérabilité découle d'une requête de base de données utilisée lors des vérifications de clés API du proxy, où la valeur de la clé fournie par l'appelant n'était pas correctement gérée. « Une requête de base de données utilisée lors des vérifications de clés API du proxy mélangeait la valeur de la clé fournie par l'appelant dans le texte de la requête au lieu de la passer en tant que paramètre distinct », ont déclaré les mainteneurs de **LiteLLM** dans un avis de sécurité. Un attaquant non authentifié pourrait envoyer un en-tête Authorization spécialement conçu à n'importe quelle route d'API LLM (par exemple, POST /chat/completions) et déclencher la requête vulnérable via le chemin de gestion des erreurs du proxy. Une exploitation réussie pourrait permettre aux attaquants de lire et de modifier la base de données du proxy, entraînant un accès non autorisé au proxy et aux identifiants qu'il gère. ### Versions affectées La vulnérabilité affecte les versions suivantes : * >=1.81.16 * <1.83.7 ### Exploitation rapide Bien que la vulnérabilité ait été corrigée dans la version 1.83.7-stable, publiée le 19 avril 2026, la première tentative d'exploitation a été enregistrée le 26 avril, un peu plus d'un jour après l'indexation de l'avis GitHub. Selon **Sysdig**, l'activité SQL injection provenait de l'adresse IP 65.111.27[.]132. Le chercheur en sécurité Michael Clark de **Sysdig** a noté que l'activité malveillante consistait en deux phases menées par le même opérateur sur deux adresses IP de sortie adjacentes, suivies d'une brève sonde non authentifiée des points d'extrémité de gestion des clés. ### Données ciblées L'attaquant a spécifiquement ciblé des tables de base de données telles que "litellm_credentials.credential_values" et "litellm_config", qui contiennent des informations sensibles relatives aux clés des fournisseurs de grands modèles linguistiques (LLM) en amont et à l'environnement d'exécution du proxy. Aucune sonde n'a été observée contre des tables comme "litellm_users" ou "litellm_team". Cela suggère un effort ciblé pour extraire des secrets sensibles. La deuxième phase de l'attaque, observée peu de temps après la première, a impliqué une sonde similaire depuis une adresse IP différente (65.111.25[.]67). ### Risque de chaîne d'approvisionnement **LiteLLM**, un logiciel populaire de passerelle IA open-source, a également été récemment ciblé dans une attaque de chaîne d'approvisionnement par le groupe de pirates **TeamPCP**, soulignant davantage les risques associés à l'infrastructure IA. **Sysdig** a souligné l'impact potentiel, déclarant : « Une seule ligne litellm_credentials contient souvent une clé d'organisation **OpenAI** avec des plafonds de dépenses mensuelles à cinq chiffres, une clé d'administrateur d'espace de travail **Anthropic** et un identifiant IAM **AWS Bedrock**. La portée d'une extraction de base de données réussie est plus proche d'un compromis de compte cloud que d'une injection SQL d'application web typique. » ### Atténuation Il est fortement conseillé aux utilisateurs de passer immédiatement à la dernière version (1.83.7 ou ultérieure). En tant que solution de contournement temporaire, les mainteneurs recommandent de définir "disable_error_logs: true" sous "general_settings" pour atténuer le chemin vulnérable. ### Points clés à retenir **Sysdig** conclut que l'exploitation rapide de la vulnérabilité **LiteLLM** souligne le paysage de menaces croissant pour l'infrastructure IA, avec des vulnérabilités critiques pré-authentification ciblées dans des logiciels qui gèrent des identifiants de niveau cloud. La vitesse d'exploitation souligne la nécessité de mesures de sécurité proactives et de correctifs rapides.