Een recent ontdekte kritieke kwetsbaarheid in het LiteLLM Python-pakket van BerriAI is binnen 36 uur na publicatie actief misbruikt. De kwetsbaarheid, geregistreerd als CVE-2026-42208 met een CVSS-score van 9.3, betreft een SQL-injectie waarmee aanvallers de onderliggende LiteLLM proxy-database kunnen uitlezen en wijzigen.

Volgens de LiteLLM-beheerders werd een databasequery die wordt gebruikt voor het controleren van proxy-API-sleutels onveilig opgebouwd door de sleutelwaarde direct in de querytekst te verwerken in plaats van als parameter mee te geven. Hierdoor kan een niet-geauthenticeerde aanvaller via een speciaal geconstrueerde Authorization-header toegang krijgen tot elke LLM API-route, bijvoorbeeld POST /chat/completions, en via de foutafhandelingsroute van de proxy de kwetsbare query bereiken. Dit maakt het mogelijk om gevoelige gegevens uit de proxy-database te lezen en te wijzigen, wat leidt tot ongeautoriseerde toegang tot de proxy en de beheerde credentials.

De kwetsbaarheid treft LiteLLM-versies vanaf 1.81.16 tot en met 1.83.6. Hoewel de fout is verholpen in versie 1.83.7-stable die op 19 april 2026 werd uitgebracht, werd de eerste exploitatiepoging al op 26 april om 16:17 UTC geregistreerd, ongeveer 26 uur na opname van de advisering in de wereldwijde GitHub Advisory Database. Volgens onderzoek van Sysdig kwam de kwaadaardige activiteit van het IP-adres 65.111.27[.]132. De aanval bestond uit twee fasen, waarbij dezelfde aanvaller via twee aangrenzende uitgaande IP-adressen probes uitvoerde, gevolgd door een korte niet-geauthenticeerde verkenning van de key-management endpoints.

De aanvaller richtte zich specifiek op database-tabellen zoals "litellm_credentials.credential_values" en "litellm_config", die sleutels van upstream grote taalmodelproviders en de proxy-runtimeomgeving bevatten. Er werden geen probes waargenomen op tabellen als "litellm_users" of "litellm_team", wat erop wijst dat de aanvaller gericht was op tabellen met gevoelige geheimen. In de tweede fase, ongeveer 20 minuten later, gebruikte de aanvaller een ander IP-adres (65.111.25[.]67) om soortgelijke probes uit te voeren.

LiteLLM is een populair open-source AI Gateway-softwarepakket met meer dan 45.000 sterren en 7.600 forks op GitHub. Vorige maand was het project al doelwit van een supply chain-aanval door de TeamPCP-hackergroep, gericht op het stelen van credentials en geheimen van downstreamgebruikers. Volgens Sysdig bevat een enkele rij in "litellm_credentials" vaak een OpenAI-organisatiesleutel met een maandelijkse bestedingslimiet van vijf cijfers, een Anthropic-console sleutel met beheerdersrechten en een AWS Bedrock IAM-credential. Een succesvolle extractie van de database kan dus leiden tot een cloud-accountcompromittering in plaats van een typische webapplicatie-SQL-injectie.

Gebruikers worden dringend geadviseerd om hun LiteLLM-instanties te updaten naar de nieuwste versie. Als directe patching niet mogelijk is, raden de beheerders aan om "disable_error_logs: true" in te stellen onder "general_settings" om de kwetsbare foutafhandelingsroute te blokkeren waardoor onbetrouwbare input de query bereikt.

Volgens Sysdig volgt deze kwetsbaarheid het patroon van kritieke, pre-authenticatie kwetsbaarheden in AI-infrastructuursoftware met grote gebruikersaantallen die cloud-grade credentials beheren. De exploitatie binnen 36 uur sluit aan bij bredere trends in snelle misbruik van zero-day kwetsbaarheden, waarbij aanvallers niet langer wachten op publieke proof-of-concepts. De advisering en het open-source schema waren voldoende om exploitatie mogelijk te maken.