一、漏洞详情

LiteLLM是一款开源大语言模型统一接入网关与Python SDK，可通过兼容OpenAI的标准API接口，统一调度OpenAI、Anthropic、Google等大模型服务。

近日，监测到LiteLLM存在SQL注入漏洞（CVE-2026-42208），该漏洞源于代理在进行API密钥验证时，直接将调用方传入的密钥值拼接到数据库查询语句中，未使用参数化查询或安全转义。远程未认证攻击者可利用构造的 Authorization头，无需权限即可执行恶意SQL指令，成功利用后可读取、篡改代理数据库数据，获取代理权限及托管的各类凭证密钥，实现未授权访问与权限提升。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

1.81.16 <= LiteLLM < 1.83.7

三、修复建议

官方已发布安全补丁，请及时更新至最新版本：

LiteLLM >= 1.83.7