Des hackers ont ciblé des informations sensibles au sein de la passerelle du modèle de langage open-source LiteLLM, en exploitant une vulnérabilité critique identifiée sous la référence CVE-2026-42208.
Cette faille, de type injection SQL, se manifeste lors de l’étape de vérification clé API du proxy de LiteLLM. Un attaquant peut en tirer parti sans authentification, simplement en envoyant un en-tête d’autorisation spécialement conçu vers n’importe quelle route API LLM.
Grâce à cela, il est possible d’accéder aux données de la base de données du proxy et de les modifier. Le conseil de sécurité des mainteneurs signale que des acteurs malveillants pourraient en profiter pour obtenir « un accès non autorisé au proxy et aux identifiants qu’il gère ».
Une mise à jour a été fournie dans la version 1.83.7 de LiteLLM, remplaçant la concaténation de chaînes par des requêtes paramétrées.
Le système conserve des clés API, des clés virtuelles et maîtresses, ainsi que des secrets d’environnement/configuration, rendant son accès particulièrement problématique pour la sécurité. Les hackers, en accédant à sa base de données, peuvent y extraire des informations sensibles qu’ils sont susceptibles d’utiliser pour d’autres attaques.
LiteLLM représente une couche intermédiaire très utilisée qui permet aux développeurs d’applications LLM d’appeler des modèles d’IA via une API unique. Le projet est populaire, affichant 45 000 étoiles et 7 600 forks sur GitHub.
Récemment, le projet a aussi été visé par une attaque de la chaîne d’approvisionnement, où des hackers de TeamPCP ont diffusé des paquets malveillants via PyPI, déployant un vol d’informations pour collecter identifiants et secrets des systèmes infectés.
Selon un rapport de chercheurs de Sysdig, une société spécialisée en sécurité cloud, l’exploitation de la vulnérabilité CVE-2026-42208 a débuté environ 36 heures après la divulgation publique de la faille le 24 avril.
Activité d’exploitation active
Les chercheurs ont noté des tentatives d’exploitation ciblées, envoyant des requêtes spécifiquement conçues à l’endpoint ‘/chat/completions’ avec un en-tête d’autorisation malicieux.
Ces requêtes interrogeaient des tables spécifiques contenant des clés API et des identifiants de fournisseurs tels que OpenAI, Anthropic et Bedrock. Sysdig a précisé qu’aucune requête n’a été dirigée vers des tables non sensibles, indiquant que l’attaquant savait exactement quoi cibler.
Lors de la seconde phase de l’attaque, l’attaquant a changé d’adresses IP, probablement pour éviter d’être détecté, tout en réitérant les tentatives d’injection SQL, mais en se concentrant sur les noms et structures de tables corrects identifiés lors de la première phase, et en utilisant des charges utiles plus précises.
Bien que 36 heures ne soient pas aussi rapides que l’exploitation d’une faille récente dans Marimo, les attaques ont été ciblées et spécifiques.
Les chercheurs ont alerté que les instances de LiteLLM exposées et fonctionnant sur des versions vulnérables doivent être considérées comme potentiellement compromises. Toutes les clés API virtuelles, clés maîtresses et identifiants de fournisseurs stockés dans ces instances doivent être immédiatement remplacés.
Pour ceux qui ne peuvent pas mettre à jour vers la version 1.83.7 ou ultérieure, les mainteneurs recommandent une solution alternative consistant à définir ‘disable_error_logs: true’ dans ‘general_settings’ pour bloquer le chemin permettant aux entrées malicieuses d’atteindre la requête vulnérable.