Les chercheurs en cybersécurité signalent l'exploitation active d'une vulnérabilité critique dans **LiteLLM**, une passerelle LLM open-source. La vulnérabilité, identifiée comme **CVE-2026-42208**, permet aux attaquants de réaliser des attaques par injection SQL contre la passerelle. ## Détails de la vulnérabilité La faille réside dans l'étape de vérification de la clé API du proxy au sein de **LiteLLM**. En envoyant un en-tête `Authorization` spécialement conçu à n'importe quelle route d'API LLM, un attaquant non authentifié peut exploiter cette vulnérabilité. Cela lui donne la capacité de lire et de modifier des données dans la base de données du proxy. Selon l'[avis de sécurité](http://github.com/BerriAI/litellm/security/advisories/GHSA-r75f-5x8p-qvmc) des mainteneurs, les acteurs malveillants pourraient utiliser cette vulnérabilité pour un "accès non autorisé au proxy et aux identifiants qu'il gère". ## Remédiation Un correctif pour cette vulnérabilité a été publié dans la version 1.83.7 de **LiteLLM**. Cette mise à jour remplace la concaténation de chaînes par des requêtes paramétrées, atténuant ainsi efficacement le risque d'injection SQL. Étant donné que **LiteLLM** stocke des données sensibles telles que des clés API, des clés virtuelles et maîtres, ainsi que des secrets d'environnement/de configuration, une exploitation réussie pourrait entraîner des violations de sécurité importantes. ## Aperçu de LiteLLM **LiteLLM** est une couche intermédiaire de proxy/SDK largement utilisée qui fournit une API unifiée pour appeler divers modèles d'IA. Elle simplifie la gestion de plusieurs modèles pour les développeurs d'applications et de plateformes LLM. Le projet bénéficie d'une communauté importante, avec 45k étoiles et 7.6k forks sur [GitHub](https://github.com/BerriAI/litellm). Notamment, **LiteLLM** a récemment été ciblé dans une [attaque de la chaîne d'approvisionnement](https://www.bleepingcomputer.com/news/security/popular-litellm-pypi-package-compromised-in-teampcp-supply-chain-attack/) où des pirates de **TeamPCP** ont compromis le package PyPI, déployant un infostealer pour récolter des identifiants, des jetons et des secrets à partir des systèmes infectés. ## Exploitation active Les chercheurs de **Sysdig** ont signalé que l'exploitation de **CVE-2026-42208** a commencé environ 36 heures après la divulgation publique de la vulnérabilité le 24 avril. Les attaques observées impliquaient des requêtes spécialement conçues envoyées au point de terminaison `/chat/completions`, utilisant un en-tête `Authorization: Bearer` malveillant. Ces requêtes ciblaient des tables spécifiques contenant des clés API, des identifiants de fournisseur (par exemple, **OpenAI**, **Anthropic**, **Bedrock**), des données d'environnement et des configurations. **Sysdig** a noté que les attaquants faisaient preuve d'une compréhension claire de la structure de la base de données, ciblant directement les tables contenant des informations sensibles. Dans la deuxième phase de l'attaque, l'acteur malveillant a fait pivoter les adresses IP, probablement à des fins d'évasion, et a affiné ses tentatives d'injection SQL en fonction des informations obtenues lors de la phase initiale. Bien que le calendrier d'exploitation n'ait pas été aussi rapide que celui de la [récente faille dans Marimo](https://www.bleepingcomputer.com/news/security/critical-marimo-pre-auth-rce-flaw-now-under-active-exploitation/), les attaques étaient hautement ciblées et spécifiques, selon **Sysdig**. ## Recommandations Il est conseillé aux professionnels de la sécurité de considérer toute instance **LiteLLM** exposée exécutant des versions vulnérables comme potentiellement compromise. Il est crucial de faire pivoter toutes les clés API virtuelles, les clés maîtres et les identifiants de fournisseur stockés dans les instances **LiteLLM** exposées sur Internet. Pour ceux qui ne peuvent pas immédiatement passer à **LiteLLM** 1.83.7 ou une version ultérieure, une solution de contournement est disponible : définir `disable_error_logs: true` sous `general_settings` pour bloquer le chemin par lequel les entrées malveillantes peuvent atteindre la requête vulnérable.