0x01 简介近期开源大语言模型网关 LiteLLM 中发现了一个严重的SQL 注入CVE-2026-42208。该存在于LiteLLM 1.81.16 到 1.83.7版本之间这一版本广泛用于许多大语言模型的前端接口如OpenAI和Anthropic等模型提供商。的发现和披露引起了网络安全界的高度关注因为它允许未经授权的攻击者执行任意的 SQL 查询获取敏感数据或对数据库进行恶意操作。免责声明请自行搭建环境进行测试作者星球分享的工具、项目、仅供安全研究与学习之用请勿用于非法行为如用于其他用途由使用者承担全部法律及连带责任与作者无关。TIPS: 更多POC末尾领取资料及加入星球福利0x02 详情在LiteLLM 1.81.16 到 1.83.7版本中根本原因是在执行 SQL 查询时直接使用了 HTTP 请求头中的Authorization: Bearer的值而没有对该值进行参数化处理或验证。这意味着如果攻击者能够访问 LiteLLM 代理他们便可以通过伪造请求头绕过认证机制向 PostgreSQL 后端数据库注入恶意的 SQL 查询语句。攻击者只需向任意 LLM API 路由发送特定构造的Authorization: Bearer值无需有效凭证即可触发查询路径影响数据库执行任意 SQL 操作。典型受影响的 API 路径包括POST /v1/chat/completionsPOST /v1/embeddings其他需要检验 API key 的 endpoint0x03 复现GET /xxx/xxxHTTP/1.1 Host: User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/137.0.0.0 Safari/537.36 Accept: text/html,application/xhtmlxml,application/xml;q0.9,image/avif,image/webp,image/apng,*/*;q0.8,application/signed-exchange;vb3;q0.7 Accept-Encoding: gzip, deflate, br Accept-Language: zh-CN,zh;q0.9 Authorization: Bearerxxxx Connection: keep-alive Content-Type: application/json Upgrade-Insecure-Requests: 1 Connection: keep-alive0x04 修复建议目前Vercel、Cloudflare等主流云服务平台已同步后台部署专属防护规则未完成修复升级的业务可优先将LiteLLM网关业务迁移至已防护节点或直接开启平台自带的AI应用安全防护、SQL注入专项防护模块临时拦截恶意注入请求阻断利用攻击链路快速降低被攻击风险。⬇️POC下载⬇️