LiteLLM 存在 SQL 注入漏洞,无需凭证即可读取 API 密钥
- 内容介绍
- 文章标签
- 相关推荐
问题描述:
passport.threatbook.cn
--【壹】--:
--【贰】--: 慕鸢:
--【叁】--:
--【肆】--:
LiteLLM 存在 SQL 注入漏洞,无需凭证即可读取 API 密钥
LiteLLM 是一个大模型统一接口库,其 Proxy 组件被发现存在 SQL 注入漏洞(CVE-2026-42208)。攻击者无需任何有效凭证,通过构造 Bearer token 即可在认证失败的错误日志中注入 payload,从而未授权读取数据库内保存的各厂商大模型 API 密钥。公网暴露的实例风险极高。官方已在 v1.83.7-stable 中修复,同时建议用户升级后修改所有已存密钥,或设置 disable_error_logs: true 关闭错误日志。
来自微步
ThreatBook 用户登录
微步在线
网友解答:--【壹】--:
这个漏洞这下有的玩了,明天仔细研究一下,
--【贰】--: 慕鸢:
LiteLLM
接口库,那就相当于地基了就,估计牵扯的服务非常多
--【叁】--:
newapi有流式中断不计费的bug,litellm竟然还能读API,好像cpa也有默认key能登录的情况
--【肆】--:
cpa 那是默认密码不删,纯输是使用的人的问题了
问题描述:
passport.threatbook.cn
--【壹】--:
--【贰】--: 慕鸢:
--【叁】--:
--【肆】--:
LiteLLM 存在 SQL 注入漏洞,无需凭证即可读取 API 密钥
LiteLLM 是一个大模型统一接口库,其 Proxy 组件被发现存在 SQL 注入漏洞(CVE-2026-42208)。攻击者无需任何有效凭证,通过构造 Bearer token 即可在认证失败的错误日志中注入 payload,从而未授权读取数据库内保存的各厂商大模型 API 密钥。公网暴露的实例风险极高。官方已在 v1.83.7-stable 中修复,同时建议用户升级后修改所有已存密钥,或设置 disable_error_logs: true 关闭错误日志。
来自微步
ThreatBook 用户登录
微步在线
网友解答:--【壹】--:
这个漏洞这下有的玩了,明天仔细研究一下,
--【贰】--: 慕鸢:
LiteLLM
接口库,那就相当于地基了就,估计牵扯的服务非常多
--【叁】--:
newapi有流式中断不计费的bug,litellm竟然还能读API,好像cpa也有默认key能登录的情况
--【肆】--:
cpa 那是默认密码不删,纯输是使用的人的问题了