LiteLLM CVE-2026-42208 : pré-auth SQLi exploitée en 36h

L'exploitation de la faille critique CVE-2026-42208 dans LiteLLM, divulguée publiquement le 24 avril 2026, a démarré seulement 36 heures après sa publication. Selon les chercheurs de Sysdig, des attaquants ciblent activement la passerelle open source LiteLLM, utilisée par des milliers d'organisations comme front-end unifié pour OpenAI, Anthropic, Google Bedrock et d'autres fournisseurs de modèles d'IA. Le bug est une injection SQL pré-authentifiée : la valeur du jeton Bearer est concaténée directement dans une requête SELECT contre la table LiteLLM_VerificationToken, sans paramétrage. Une simple apostrophe permet à un attaquant de s'échapper du littéral et d'injecter du SQL arbitraire. Aucune authentification requise : tout client HTTP capable d'atteindre le port du proxy suffit. Les requêtes observées ciblent spécifiquement les tables contenant les clés API, les credentials OpenAI, Anthropic, Bedrock, ainsi que les variables d'environnement et la configuration du proxy. Les versions vulnérables vont de 1.81.16 à 1.83.6 incluse.

Ce qui s'est passé

Le 24 avril 2026, le projet LiteLLM publie un avis de sécurité documentant la vulnérabilité CVE-2026-42208. Trente-six heures plus tard, les capteurs de Sysdig détectent les premières tentatives d'exploitation ciblées. Les attaquants envoient des requêtes spécialement formées vers l'endpoint /chat/completions, en injectant des charges SQL dans l'en-tête Authorization: Bearer. Les requêtes UNION SELECT permettent d'extraire successivement les clés API stockées en base, les configurations système et les variables d'environnement.

LiteLLM cumule plus de 22 000 étoiles sur GitHub et est déployé par de nombreuses entreprises pour mutualiser l'accès aux LLM commerciaux. La passerelle agrège typiquement les credentials de plusieurs fournisseurs cloud-grade, ce qui transforme une simple SQLi en compromission équivalente à un détournement complet de compte cloud. Les chercheurs notent une similitude avec l'incident Vercel-Context.ai du 19 avril, où un fournisseur tiers a entraîné l'exposition de credentials OAuth Google.

Pourquoi c'est important

Les passerelles LLM comme LiteLLM concentrent les secrets les plus précieux d'une organisation IA : facturation à l'usage, accès aux modèles propriétaires, données d'entraînement. Une compromission permet non seulement le vol de clés (avec coût financier immédiat sur les factures OpenAI ou Anthropic), mais aussi l'exfiltration des prompts et des réponses échangés avec les modèles, exposant potentiellement des données métier sensibles.

L'affaire s'inscrit dans une série de risques émergents sur la couche IA d'entreprise : prise de contrôle des Agent ID Microsoft Entra, vulnérabilités dans les chaînes d'approvisionnement IA, et risques de fuite via les nouveaux modèles agentiques. La vitesse d'exploitation (36 heures) souligne la nécessité d'un patching prioritaire pour les composants exposés en HTTP, surtout ceux qui agrègent des secrets multi-fournisseurs comme DeepSeek V4 Pro ou les modèles d'Anthropic massivement financés par Google.

Ce qu'il faut retenir

• Mettre à jour LiteLLM vers la version 1.83.7 ou supérieure sans délai sur toutes les instances exposées.
• En attendant : ajouter disable_error_logs: true dans la section general_settings du fichier de configuration.
• Faire pivoter immédiatement toutes les clés API stockées dans LiteLLM (OpenAI, Anthropic, Bedrock, Azure OpenAI) si l'instance était exposée à Internet.