Em um cenário de exploração rápida, uma falha de segurança crítica recém-divulgada no pacote Python **LiteLLM** da **BerriAI** foi ativamente explorada em 36 horas após sua divulgação pública. Isso destaca a velocidade crescente com que os atores de ameaças estão alavancando vulnerabilidades recém-descobertas. ### Detalhes da Vulnerabilidade: CVE-2026-42208 A vulnerabilidade, rastreada como **CVE-2026-42208** (pontuação CVSS: 9.3), é uma SQL injection que poderia ser explorada para modificar o banco de dados proxy subjacente do **LiteLLM**. De acordo com os mantenedores do **LiteLLM**, a falha decorre de uma consulta ao banco de dados usada durante as verificações de chave de API do proxy, onde o valor da chave fornecido pelo chamador não foi tratado adequadamente. "Uma consulta ao banco de dados usada durante as verificações de chave de API do proxy misturava o valor da chave fornecido pelo chamador ao texto da consulta em vez de passá-lo como um parâmetro separado", disseram os mantenedores do **LiteLLM** em um aviso de segurança. Um atacante não autenticado poderia enviar um cabeçalho Authorization especialmente elaborado para qualquer rota de API LLM (por exemplo, POST /chat/completions) e acionar a consulta vulnerável através do caminho de tratamento de erros do proxy. A exploração bem-sucedida poderia permitir que atacantes lessem e modificassem o banco de dados do proxy, levando a acesso não autorizado ao proxy e às credenciais que ele gerencia. ### Versões Afetadas A vulnerabilidade afeta as seguintes versões: * >=1.81.16 * <1.83.7 ### Exploração Rápida Embora a vulnerabilidade tenha sido corrigida na versão 1.83.7-stable, lançada em 19 de abril de 2026, a primeira tentativa de exploração foi registrada em 26 de abril, pouco mais de um dia após o aviso do GitHub ser indexado. De acordo com a **Sysdig**, a atividade de SQL injection se originou do endereço IP 65.111.27[.]132. O pesquisador de segurança Michael Clark, da **Sysdig**, observou que a atividade maliciosa consistiu em duas fases impulsionadas pelo mesmo operador em dois IPs de saída adjacentes, seguidas por uma breve sonda não autenticada nos endpoints de gerenciamento de chaves. ### Dados Alvo O atacante visou especificamente tabelas de banco de dados como "litellm_credentials.credential_values" e "litellm_config", que contêm informações confidenciais relacionadas a chaves de provedores de LLM upstream e ao ambiente de execução do proxy. Nenhuma sonda foi observada contra tabelas como "litellm_users" ou "litellm_team". Isso sugere um esforço focado para extrair segredos sensíveis. A segunda fase do ataque, observada logo após a primeira, envolveu uma sonda semelhante de um endereço IP diferente (65.111.25[.]67). ### Risco na Cadeia de Suprimentos O **LiteLLM**, um popular software de Gateway de IA de código aberto, também foi recentemente alvo em um ataque à cadeia de suprimentos pelo grupo de hackers **TeamPCP**, destacando ainda mais os riscos associados à infraestrutura de IA. A **Sysdig** enfatizou o impacto potencial, declarando: "Uma única linha litellm_credentials geralmente contém uma chave de organização **OpenAI** com limites de gastos mensais de cinco dígitos, uma chave de console **Anthropic** com direitos de administrador de workspace e uma credencial IAM **AWS Bedrock**. O raio de explosão de uma extração bem-sucedida do banco de dados é mais próximo de um comprometimento de conta na nuvem do que de uma SQL injection típica de aplicativo web." ### Mitigação Os usuários são fortemente aconselhados a atualizar para a versão mais recente (1.83.7 ou posterior) imediatamente. Como uma solução temporária, os mantenedores recomendam definir "disable_error_logs: true" em "general_settings" para mitigar o caminho vulnerável. ### Principais Conclusões A **Sysdig** conclui que a exploração rápida da vulnerabilidade do **LiteLLM** sublinha o cenário de ameaças crescente para a infraestrutura de IA, com vulnerabilidades críticas pré-autenticação sendo visadas em software que gerencia credenciais de nível de nuvem. A velocidade de exploração destaca a necessidade de medidas de segurança proativas e patches rápidos.