LiteLLM 存在 SQL 注入漏洞,无需凭证即可读取 API 密钥
🌐 链接: https://linux.do/t/topic/2076696
🔍 关键词: #api
🏷️ 分组: LinuxDo论坛
🕒 时间: 2026-04-28 22:45:56
🌐 链接: https://linux.do/t/topic/2076696
🔍 关键词: #api
🏷️ 分组: LinuxDo论坛
🕒 时间: 2026-04-28 22:45:56
LINUX DO
LiteLLM 存在 SQL 注入漏洞,无需凭证即可读取 API 密钥
LiteLLM 存在 SQL 注入漏洞,无需凭证即可读取 API 密钥 LiteLLM 是一个大模型统一接口库,其 Proxy 组件被发现存在 SQL 注入漏洞(CVE-2026-42208)。攻击者无需任何有效凭证,通过构造 Bearer token 即可在认证失败的错误日志中注入 payload,从而未授权读取数据库内保存的各厂商大模型 API 密钥。公网暴露的实例风险极高。官方已在 v1.83.7-stable 中修复,同时建议用户升级后修改所有已存密钥,或设置 disable_error_logs:…
