CVE-2026-42208 nguy hiểm: LiteLLM cần cập nhật bản vá

29/04/2026
3 mins read
CVE-2026-42208 nguy hiểm: LiteLLM cần cập nhật bản vá

CVE-2026-42208 là một lỗ hổng CVE nghiêm trọng dạng pre-authentication SQL injection trong LiteLLM, nền tảng AI gateway mã nguồn mở đang được khai thác thực tế. Lỗ hổng này cho phép kẻ tấn công chưa xác thực trích xuất trực tiếp các thông tin đăng nhập nhạy cảm từ cơ sở dữ liệu PostgreSQL của hệ thống.

Nội dung
Lỗ hổng CVE-2026-42208 trong LiteLLM
Cách thức khai thác
Các bảng bị nhắm mục tiêu
Thông tin CVE và tình trạng khai thác
Ảnh hưởng hệ thống
Bản vá và phiên bản bị ảnh hưởng
Hành động khuyến nghị sau khai thác
Phát hiện xâm nhập và IOC
Yêu cầu vận hành và giảm thiểu rủi ro
Tham khảo kỹ thuật

Lỗ hổng CVE-2026-42208 trong LiteLLM

LiteLLM được dùng như một proxy trung tâm cho các mô hình ngôn ngữ lớn như OpenAI, AnthropicAWS Bedrock. Vì quản lý định tuyến AI và billing, ứng dụng này lưu trữ nhiều bí mật có giá trị cao, bao gồm master API keysenterprise cloud credentials.

Phạm vi ảnh hưởng của một vụ khai thác thành công gần với tình huống chiếm quyền điều khiển tài khoản cloud hơn là một cuộc tấn công ứng dụng web thông thường. Đây là lý do lỗ hổng CVE này được xem là rủi ro bảo mật cao đối với các hệ thống AI gateway đang mở ra Internet.

Cách thức khai thác

lỗ hổng CVE nằm trong quy trình xác thực của proxy. LiteLLM không bảo vệ an toàn tiêu đề Authorization Bearer. Bằng cách chèn một dấu nháy đơn vào token giả như sk-litellm’, kẻ tấn công có thể thoát khỏi truy vấn dự kiến và thực thi các lệnh cơ sở dữ liệu độc hại trước khi quá trình xác thực diễn ra.

Đáng chú ý, bất kỳ HTTP client nào có thể truy cập cổng proxy đều có thể thực thi exploit này. Điều đó khiến lỗ hổng CVE trở thành một vector remote code execution gián tiếp ở tầng dữ liệu, dù bản chất kỹ thuật của nó là SQL injection.

Các bảng bị nhắm mục tiêu

Hoạt động khai thác nhắm vào ba bảng quan trọng nhất của LiteLLM:

  • LiteLLM_VerificationToken
  • litellm_credentials
  • litellm_config

Các bảng này lưu trữ dữ liệu cốt lõi của hệ thống, bao gồm virtual API keys, credentials của nhà cung cấp dịch vụ và cấu hình môi trường. Tác nhân khai thác còn điều chỉnh payload để khớp chính xác với kiểu chữ của schema cơ sở dữ liệu.

Thông tin CVE và tình trạng khai thác

CVE-2026-42208 được ghi nhận là đã bị khai thác chỉ 36 giờ 7 phút sau khi xuất hiện trong GitHub Advisory Database vào ngày 24/04/2026. Việc phát hiện sớm dấu hiệu khai thác cho thấy đây là một cảnh báo CVE có mức độ ưu tiên cao trong công tác an ninh mạng.

Theo ghi nhận, hoạt động tấn công xuất phát từ hai địa chỉ IP cùng một autonomous system:

  • 65.111.27.132
  • 65.111.25.67

Điều này cho thấy đây là một hoạt động trích xuất dữ liệu có chủ đích, không phải quét lỗ hổng tự động thông thường. Tham chiếu chính thức có thể xem tại NVD.

Ảnh hưởng hệ thống

Do không yêu cầu đăng nhập, lỗ hổng CVE này có thể bị khai thác trên bất kỳ instance nào bị lộ ra ngoài Internet. Với các hệ thống bị ảnh hưởng, cần giả định rằng máy chủ dễ tổn thương đã có thể bị xâm nhập trái phép.

Hậu quả trực tiếp gồm:

  • Rò rỉ virtual API keys
  • Rò rỉ master keys
  • Rò rỉ stored provider credentials
  • Rò rỉ cấu hình môi trường và thông tin billing
  • Nguy cơ truy cập trái phép vào tài khoản cloud và AI provider

Với đặc thù của AI gateway, đây không chỉ là rủi ro an toàn thông tin ở tầng ứng dụng mà còn là nguy cơ bảo mật liên quan trực tiếp đến tài sản cloud và chi phí sử dụng dịch vụ.

Bản vá và phiên bản bị ảnh hưởng

LiteLLM đã phát hành version 1.83.7 để khắc phục lỗ hổng CVE-2026-42208 bằng cách bảo vệ đúng các truy vấn cơ sở dữ liệu. Các phiên bản bị ảnh hưởng là từ 1.81.16 đến 1.83.6.

Quản trị viên cần áp dụng cập nhật bản vá ngay lập tức cho mọi hệ thống đang chạy các bản phát hành này, đặc biệt nếu instance đang được public trên Internet.

Hành động khuyến nghị sau khai thác

Do lỗ hổng CVE có thể bị khai thác mà không cần xác thực, cần xem xét toàn bộ hệ thống là có nguy cơ bị lộ bí mật. Các bước xử lý ưu tiên gồm:

  • Rotate toàn bộ virtual API keys
  • Rotate master keys
  • Rotate mọi stored provider credentials
  • Kiểm tra các tài khoản billing cloud để phát hiện API call bất thường
  • Rà soát tiêu thụ token AI không hợp lệ

Đây là bước bắt buộc khi đối mặt với một lỗ hổng CVE ảnh hưởng đến lớp xác thực và kho bí mật của nền tảng.

Phát hiện xâm nhập và IOC

Đội ngũ giám sát cần kiểm tra web server logs để tìm các request đáng ngờ chứa từ khóa SQL hoặc payload sk-litellm’. Đây là IOC quan trọng khi điều tra cảnh báo CVE liên quan tới SQL injection trước xác thực.

  • Payload: sk-litellm’
  • IOC mạng: 65.111.27.132
  • IOC mạng: 65.111.25.67
  • Dấu hiệu: HTTP request chứa SQL keywords bất thường

Khi triển khai phát hiện tấn công, nên ưu tiên kiểm tra log ở lớp proxy và lớp ứng dụng, vì exploit có thể được gửi qua bất kỳ client nào kết nối được đến cổng dịch vụ.

Yêu cầu vận hành và giảm thiểu rủi ro

Với các hệ thống AI gateway, lỗ hổng CVE dạng này nên được xử lý như một sự cố về bảo mật thông tin cấp cao. Việc đặt proxy trong mạng nội bộ và duy trì bản vá bảo mật thường xuyên là biện pháp thiết yếu để giảm nguy cơ bị khai thác.

Ngoài ra, đội vận hành cần đảm bảo quy trình phát hiện xâm nhập được kích hoạt trên các truy vấn bất thường tới lớp xác thực, đặc biệt khi hệ thống có vai trò trung gian cho nhiều nhà cung cấp AI và cloud.

Tham khảo kỹ thuật

Thông tin tra cứu thêm về lỗ hổng CVE có thể xem tại NVD.