漏洞分析 | LiteLLM Proxy 预认证 SQL 注入 (CVE-2026-42208)
漏洞概述LiteLLM 是一个开源的大语言模型代理网关46.5k Stars支持统一接口调用 OpenAI、Anthropic、Azure 等 100 LLM 提供商。其 Proxy 模式使用 PostgreSQL 存储 API Key、团队配置及提供商凭据等敏感数据。近期LiteLLM Proxy 的 API Key 认证流程中被发现存在一个预认证 SQL 注入漏洞。攻击者无需任何有效凭据仅通过发送构造的 Authorization 头即可触发注入读取甚至篡改代理数据库中的所有数据包括全部 LLM 提供商的 API Key。网宿评分极危、CVSS 3.0 评分9.8目前该漏洞POC状态已在互联网公开建议客户尽快做好自查及防护。受影响版本1.81.16 LiteLLM 1.83.7漏洞分析前置知识LiteLLM Proxy 的 API Key 认证流程LiteLLM Proxy 启用 API Key 认证后所有 LLM API 路由如 /chat/completions都需要在请求头中携带 Authorization: Bearer sk-xxx 格式的 Token。正常流程下1. 从 Authorization 头提取 Bearer Tokenlitellm/proxy/auth/user_api_key_auth.py→_get_bearer_token_or_received_api_key()2. 断言 Token 以 sk- 开头user_api_key_auth.py→assert api_key.startswith(sk-)3. 对 Token 做 SHA256 哈希user_api_key_auth.py→hash_token(api_key)4. 用哈希后的值查询数据库litellm/proxy/auth/auth_checks.py→get_key_object(hashed_tokenhash_token(api_key))→_fetch_key_object_from_db_with_reconnect()→prisma_client.get_data(tokenhashed_token,table_namecombined_view)所以正常路径是安全的——因为 SHA256 哈希只产生 [0-9a-f] 字符无法构造 SQL 注入 payload。漏洞根因错误处理回调中的 f-string 拼接漏洞发生在认证失败的错误处理路径中而非主认证流程。当发送的 Token 不以 sk- 开头时HTTP 请求: Authorization: Bearer payload1. litellm/proxy/auth/user_api_key_auth.py→_get_bearer_token_or_received_api_key() 提取 Bearer Token→assert api_key.startswith(sk-) 断言失败payload 以 开头2. litellm/proxy/auth/user_api_key_auth.py→UserAPIKeyAuthExceptionHandler._handle_authentication_error(api_keyapi_key) 原始 payload 作为 api_key 传入3. itellm/proxy/auth/auth_exception_handler.py→post_call_failure_hook(user_api_key_dictUserAPIKeyAuth(api_keyapi_key)) 原始 payload 封装进 user_api_key_dict4. litellm/proxy/utils.py→post_call_failure_hook()→[回调链] 再次调用 get_key_object(hashed_tokenRAW_PAYLOAD)5. litellm/proxy/auth/auth_checks.py→get_key_object()→_fetch_key_object_from_db_with_reconnect()→prisma_client.get_data(tokenRAW_PAYLOAD,table_namecombined_view)6. 关键步骤litellm/proxy/utils.py→get_data()→hashed_token _hash_token_if_needed(tokentoken)→因 payload 不以 sk- 开头直接返回原始值7. litellm/proxy/utils.py→sql_query f...WHERE v.token {token} 原始 payload 拼入 SQL8. litellm/proxy/utils.py→_query_first_with_cached_plan_fallback(sql_query)→self.db.query_first(querysql_query) 直接执行注入完成从 Authorization 头到 SQL 注入点的污点传播路径关键函数 _hash_token_if_needed()litellm/proxy/utils.py这个函数是整个漏洞的核心开关。它的设计意图是兼容已经哈希过的 tokenSHA256 hex 字符串不以 sk- 开头但它同时也让攻击者构造的恶意输入畅通无阻地流入了 f-string SQL 拼接。攻击者只需确保 payload 不以 sk- 开头例如以单引号 开头即可绕过哈希处理原样注入到 SQL 查询中。def _hash_token_if_needed(token: str) - str:Hash the token if its a string and starts with sk- Else return the token as isif token.startswith(sk-): return hash_token(tokentoken) else: return token # ← 非 sk- 开头的 token 原样返回不做任何处理漏洞复现修复方案核心改动是将 f-string 拼接替换为参数化查询。修复后即使 _hash_token_if_needed() 对非 sk- 前缀的 token 原样返回该值也不会拼入 SQL 文本而是作为 $1 占位符的绑定参数由 PostgreSQL 驱动安全处理。产品支持网宿全站防护-WAF已支持对该漏洞利用攻击的防护并持续挖掘分析其他变种攻击方式和各类组件漏洞第一时间上线防护规则缩短防护“空窗期”。

相关新闻

上位机开发一周快速入门:一通百通,上手速度远超传统教学

上位机开发一周快速入门:一通百通,上手速度远超传统教学

很多人疑惑,我一边钻研上位机编程,一边深耕十年股票交易记录,二者看似毫无关联,实则底层逻辑完全相通。我整理过一份 15 行十年股民交易记录表,再延伸出完整股民画像档案。同样是梳理一套完整逻辑,简单表格…

2026/7/2 3:23:40阅读更多 →
二进制分组感觉是一种比较少见的数据结构维护方式。

二进制分组感觉是一种比较少见的数据结构维护方式。

能直接使用常规的单调队列或者单调栈写法。 具体做法可见我之前写的 斜率优化学习笔记。 这里详细讲一下二进制分组的做法。 做法 感觉网上说的理解都比较神秘,实际上很好理解。 其实这玩意和线段树是一个类似逻辑,我们相当于第 �i 次修…

2026/7/2 3:18:40阅读更多 →
AI算力盒子工作原理解析:边缘端AI推理的实现逻辑全拆解

AI算力盒子工作原理解析:边缘端AI推理的实现逻辑全拆解

在工业 AI 落地过程中,很多技术与采购人员都接触过 AI 算力盒子,知道它能跑视觉检测、行为分析,但对 “它到底怎么工作、为什么能在本地跑 AI、和普通电脑跑 AI 有什么不一样” 缺乏系统认知。了解底层工作原理,不仅能避开选型陷阱…

2026/7/2 3:18:39阅读更多 →
揭秘AMD Ryzen处理器底层调试:SMU Debug Tool完整操作指南

揭秘AMD Ryzen处理器底层调试:SMU Debug Tool完整操作指南

揭秘AMD Ryzen处理器底层调试:SMU Debug Tool完整操作指南 【免费下载链接】SMUDebugTool A dedicated tool to help write/read various parameters of Ryzen-based systems, such as manual overclock, SMU, PCI, CPUID, MSR and Power Table. 项目地址: https:…

2026/7/2 11:15:07阅读更多 →
单次诊断 + 长期盯盘!这款双产品线 GEO 工具甩开 同类产品

单次诊断 + 长期盯盘!这款双产品线 GEO 工具甩开 同类产品

2026 年 AI 问答全面取代传统网页检索,GEO(生成式引擎优化)成为品牌抢占用户认知的核心赛道。品牌在各大模型的曝光、口碑、引用数据直接决定转化,但 AI 输出具备强动态随机性,月度静态监测早已无法适配运营需求。本次…

2026/7/2 11:15:07阅读更多 →
VMware虚拟机网络不通?7个致命配置陷阱正在偷走你的连接(附逐行诊断脚本)

VMware虚拟机网络不通?7个致命配置陷阱正在偷走你的连接(附逐行诊断脚本)

更多请点击: https://intelliparadigm.com 第一章:VMware虚拟机网络不通的典型现象与影响评估 当 VMware 虚拟机出现网络不通时,用户常观察到以下典型现象:虚拟机内部 ping 不通网关或外部主机、DHCP 获取失败导致无 IP 地址、Gu…

2026/7/2 11:15:07阅读更多 →
手机号查QQ号终极指南:本地化隐私保护解决方案

手机号查QQ号终极指南:本地化隐私保护解决方案

手机号查QQ号终极指南:本地化隐私保护解决方案 【免费下载链接】phone2qq 项目地址: https://gitcode.com/gh_mirrors/ph/phone2qq 你是否曾因只有手机号而无法添加QQ好友感到困扰?或者需要找回绑定手机号的QQ账号却无从下手?phone2q…

2026/7/2 11:15:07阅读更多 →
VMware虚拟机USB设备失联?3步诊断法+4个隐藏配置项,95%问题当场解决

VMware虚拟机USB设备失联?3步诊断法+4个隐藏配置项,95%问题当场解决

更多请点击: https://intelliparadigm.com 第一章:VMware虚拟机USB设备失联现象全景透视 VMware虚拟机中USB设备频繁失联是企业级桌面虚拟化与开发测试环境中长期存在的典型故障,其表现包括设备在虚拟机内突然消失、重插后无法识别、状态显示…

2026/7/2 11:15:07阅读更多 →
3PEAK思瑞浦 TPA158B4-S5TR-S SOT23-5 电流信号检测放大器

3PEAK思瑞浦 TPA158B4-S5TR-S SOT23-5 电流信号检测放大器

特性电压失调:150μV(最大值)宽共模电压:3.0V至150V电源电压:3.0V至20V精度和零漂移性能:0.55%增益误差(温度范围内最大值)20ppm/C增益漂移(温度范围内最大值&#xff09…

2026/7/2 11:10:07阅读更多 →
AI Coding 六个月真实ROI账本:产品经理的血泪教训,研发的冷静忠告

AI Coding 六个月真实ROI账本:产品经理的血泪教训,研发的冷静忠告

6个月前的2025年12月,Boris Cherny 公开宣布自己卸载了 IDE。一时间,Vibe Coding 成了全行业最热的话题。6个月后,当我们回过头来拉一份真实账本,发现事情远没有"一句话生成一个App"那么浪漫。本文从产品经理和研发两个…

2026/7/1 4:42:14阅读更多 →
审计来了,数据权限全开——审计走了,怎么确保权限全部关掉?

审计来了,数据权限全开——审计走了,怎么确保权限全部关掉?

引言:审计结束三个月了,审计员的权限还没关某城商行每年按照监管要求开展至少一次数据安全审计。审计期间,内审部门需要抽样检查各类业务数据——交易流水、客户信息、员工操作日志、权限配置记录。这些数据分布在不同系统中,审计…

2026/7/1 5:19:01阅读更多 →
塞尔达传说旷野之息存档修改器:3分钟掌握海拉鲁世界自由定制技巧

塞尔达传说旷野之息存档修改器:3分钟掌握海拉鲁世界自由定制技巧

塞尔达传说旷野之息存档修改器:3分钟掌握海拉鲁世界自由定制技巧 【免费下载链接】BOTW-Save-Editor-GUI A Work in Progress Save Editor for BOTW 项目地址: https://gitcode.com/gh_mirrors/bo/BOTW-Save-Editor-GUI 想在《塞尔达传说:旷野之息…

2026/7/2 0:03:01阅读更多 →
告别 AccessKey:多云平台 CLI OAuth 免密认证完全指南

告别 AccessKey:多云平台 CLI OAuth 免密认证完全指南

在本地开发环境使用云厂商 CLI 时,传统的 AccessKey(AK)方式需要手动创建、下载和保管密钥,不仅繁琐,还存在泄漏风险。其实,主流云平台都已提供基于 OAuth 2.0 的免密认证方案,让开发者可以通过浏览器登录一次性完成授权,CLI 自动管理临时凭证的刷新,兼顾了便利与安全…

2026/7/2 0:03:01阅读更多 →
基于13DOF传感器与PIC32MZ的高精度嵌入式导航系统设计

基于13DOF传感器与PIC32MZ的高精度嵌入式导航系统设计

1. 项目背景与核心价值在嵌入式系统开发领域,高精度定位与导航一直是极具挑战性的技术方向。传统方案往往面临成本、精度和实时性难以兼顾的困境。这个项目通过13DOF(13自由度)传感器组合与PIC32MZ2048EFH100高性能MCU的协同工作,…

2026/7/2 0:03:01阅读更多 →
YOLOv8推理性能优化:从1.2FPS到35FPS的全链路加速实践

YOLOv8推理性能优化:从1.2FPS到35FPS的全链路加速实践

如果你在部署 YOLOv8 时,发现推理速度只有可怜的 1-2 FPS,而别人的演示视频却能跑到 30 FPS 以上,那么问题很可能不在模型本身,而在于你的整个处理链路。很多开发者拿到一个训练好的 YOLOv8 模型后,会直接使用官方示例…

2026/7/2 0:33:58阅读更多 →
Coze与Dify对比指南:低代码AI应用开发从入门到实战

Coze与Dify对比指南:低代码AI应用开发从入门到实战

1. 从零到一:为什么你需要了解 Coze 和 Dify?如果你对 AI 应用开发感兴趣,但一看到“大模型”、“智能体”、“工作流”这些词就头疼,觉得门槛太高,那这篇文章就是为你准备的。很多开发者,包括我自己&#…

2026/7/2 1:32:11阅读更多 →
AI生图工具怎么选?2026年6月版实测对比

AI生图工具怎么选?2026年6月版实测对比

做自媒体的朋友应该都有体会:配图一直是个让人头疼的问题。2026年,AI生图工具已经非常成熟了,但工具太多反而不知道怎么选。以下是截至2026年6月我对主流AI生图工具的实测对比。Midjourney V8.1:速度之王2026年6月11日&#xff0c…

2026/7/2 1:50:13阅读更多 →