LiteLLM CVE-2026-42208 : accès non autorisé aux bases de données
Une injection SQL dans une couche proxy d’IA n’est pas une vulnérabilité web classique. Toute personne utilisant LiteLLM comme couche de routage et n’ayant pas encore appliqué le correctif expose potentiellement toutes les clés API des fournisseurs de LLM, ainsi que chaque prompt ayant transité par le proxy.
Les points clés en bref
- CVSS 9,3 – Critique. CVE-2026-42208 permet à des attaquants non authentifiés de modifier la base de données via l’interface d’administration du proxy LiteLLM.
- Nouvelle surface d’attaque. Les proxies d’IA comme LiteLLM stockent des clés API fournisseurs, des configurations de routage de modèles et des journaux de prompts, le tout dans une base de données.
- Aucune authentification requise. L’attaque par injection SQL ne nécessite aucune authentification : le point d’accès est exposé si LiteLLM est exécuté sans pare-feu.
- Réponse aux incidents différente. Les guides classiques pour applications web ne s’appliquent pas ; la portée de l’impact concerne tous les comptes fournisseurs de LLM en aval.
- Mesure immédiate. Mettez à jour vers la version corrigée de LiteLLM, renouvelez toutes les clés API fournisseurs et sécurisez le point d’accès d’administration du proxy.
Qu’est-ce que LiteLLM ? LiteLLM est une bibliothèque open source en Python et un serveur proxy qui fournit une API unifiée pour plus de 100 fournisseurs de LLM : OpenAI, Anthropic, Azure OpenAI, Google Gemini, Bedrock, Groq et bien d’autres. Les entreprises utilisent LiteLLM comme intergiciel entre leur application et les différents fournisseurs de modèles : gestion centralisée des clés, suivi de l’utilisation, limitation de débit et équilibrage de charge. En résumé : LiteLLM est précisément l’outil qui maintient souvent invisiblement ensemble les infrastructures modernes d’IA.
La vulnérabilité réside dans le point d’accès de l’API d’administration du proxy LiteLLM. Grâce à l’injection SQL, un attaquant non authentifié peut modifier directement la base de données que LiteLLM utilise pour la configuration et la journalisation. Ce n’est pas anodin : cette base de données contient généralement les clés API de tous les fournisseurs configurés, les règles de routage et, selon la configuration, les prompts et réponses mis en cache.
Pourquoi les couches proxy d’IA nécessitent une réponse aux incidents différente
Une injection SQL classique dans une application web est grave : elle implique généralement des données clients, des jetons de session ou des identifiants d’accès. Dans un proxy d’IA, le potentiel de dommage est structurellement différent :
- Clés API fournisseur à fort impact : LiteLLM gère les clés de tous les fournisseurs configurés. Une clé OpenAI volée entraîne une utilisation non contrôlée de l’API aux frais de l’entreprise, ainsi qu’un accès potentiel aux données de tous les projets OpenAI associés à ce compte. Une clé Anthropic compromise donne un accès similaire.
- Manipulation du routage : Si un attaquant obtient un accès en écriture à la base de données LiteLLM, il peut modifier les règles de routage et rediriger les prompts vers un endpoint externe. Il s’agit d’une forme d’exfiltration de données qui échappe souvent aux règles SIEM classiques.
- Les logs de prompts comme données sensibles : De nombreux déploiements LiteLLM enregistrent les prompts et réponses à des fins de débogage et de suivi d’utilisation. En pratique, ces logs contiennent des extraits de documents internes, de demandes clients et de données commerciales confidentielles.
- Impact en aval sur les applications : Si un attaquant modifie la configuration de routage, toutes les applications utilisant le proxy peuvent commencer à recevoir des réponses d’un mauvais modèle. Cela est difficile à détecter et peut provoquer des comportements erronés dans des systèmes en production.
Ce que les équipes DevSecOps doivent vérifier immédiatement
| Mesure immédiate | Pourquoi c’est critique |
|---|---|
| Mettre à jour LiteLLM vers la version corrigée | Ferme le vecteur d’injection SQL |
| Régénérer toutes les clés API fournisseur | Les clés volées resteraient valides autrement |
| Supprimer l’accès public à l’endpoint d’administration depuis Internet | L’API d’administration n’a jamais été conçue pour un accès public |
| Vérifier les logs LiteLLM à la recherche de modifications anormales de routage | Indique si un attaquant a déjà modifié le routage |
| Vérifier les comptes fournisseur pour détecter une utilisation inhabituelle | Un usage abusif de la clé API génère des coûts et laisse des traces |
L’endpoint d’administration est le problème décisif : LiteLLM a été conçu pour un usage interne. Dans les déploiements en production, le proxy s’exécute généralement sur le port 4000, avec l’interface d’administration exposée. La segmentation réseau ou un proxy inverse bloquant le port d’administration devrait être une configuration standard, mais ce n’est pas le cas.
Foire aux questions
Chaque question est verrouillée. Un clic déverrouille la réponse.
Quelles versions de LiteLLM sont affectées par le CVE-2026-42208 ?
La vulnérabilité affecte les versions du proxy LiteLLM antérieures à la version corrigée publiée après la divulgation du CVE. La limite exacte de version doit être consultée dans la documentation officielle du CVE et dans le dépôt GitHub de LiteLLM. Les utilisateurs ayant installé LiteLLM via pip peuvent mettre à jour vers la version actuelle avec pip install –upgrade litellm.
Comment vérifier si mon endpoint d’administration LiteLLM est accessible depuis Internet ?
Vérifiez si le port 4000 de l’hôte LiteLLM est accessible depuis l’extérieur. Une méthode simple : curl http://[hôte]:4000/health depuis un réseau externe. Si l’endpoint répond, il est exposé. L’endpoint d’administration ne devrait être accessible que via des réseaux internes ou un VPN. Utiliser Nginx comme proxy inverse avec une règle de blocage des IPs externes sur les routes d’administration est la mesure de renforcement la plus rapide.
Que faire si l’on ne sait pas si une attaque a eu lieu ?
Consultez les journaux de la base de données LiteLLM à la recherche d’appels API non authentifiés vers le point de terminaison concerné et de modifications inhabituelles de la configuration de routage. Vérifiez les comptes des fournisseurs (OpenAI, Anthropic, etc.) afin de détecter toute utilisation de l’API depuis des adresses IP inconnues. En cas de doute : changez toutes les clés et, dans le pire des cas, partez du principe que les clés d’accès et les journaux de prompts ont été compromises.
LiteLLM est-il un cas isolé ou s’agit-il d’un problème généralisé chez les proxies d’IA ?
Les proxies d’IA et les passerelles LLM constituent une catégorie de logiciels relativement nouvelle : LiteLLM, OpenRouter, PortKey, Helicone et autres. Ils sont apparus rapidement pour répondre au besoin d’API LLM unifiées, sans avoir traversé le cycle de maturation en matière de sécurité que connaissent déjà les catégories de logiciels plus anciennes. Cela en fait un point aveugle structurel pour de nombreuses équipes de sécurité, qui considèrent l’infrastructure IA comme « une simple API ».
Quelles règles de surveillance devraient être mises en place pour les déploiements LiteLLM ?
Quatre règles de surveillance utiles : (1) Alerte en cas d’appel API vers le point de terminaison d’administration depuis des adresses IP externes. (2) Alerte en cas de modification de la configuration de routage dans la base de données LiteLLM. (3) Détection d’anomalies dans l’utilisation de l’API du fournisseur : écarts significatifs par rapport à la consommation de base. (4) Alerte si les journaux LiteLLM cessent d’être générés : un attaquant ayant accès pourrait désactiver les journaux.
Sélections de lecture recommandées par la rédaction
- Breach chez BePrime : étude de cas sur la façon dont l’absence de MFA a exposé 12,6 Go de données et 2 600 appareils
- Bitwarden CLI : attaque de la chaîne d’approvisionnement via GitHub Actions et ce que les équipes DevSecOps doivent vérifier
- EU AI Act : date limite pour les systèmes à haut risque en août 2026 – le vide de supervision en cours de formation
Plus de contenus du réseau MBF Media
Pour aller plus loin
TrapDoor : attaque coordonnée sur la chaîne d’approvisionnement contre npm, PyPI et Crates – ce que
Socket a documenté 34 paquets malveillants dans npm, PyPI et Crates.io, contenant des voleurs de portefeuilles (wallets), des outils de piratage SSH…
Le BKA traque le chef de REvil après 130 attaques contre des cibles allemandes
7 min. Temps de lecture Fin avril 2026, le BKA a identifié le chef présumé du groupe REvil et a déclenché une demande d’arrêté …
Violation BePrime : absence de MFA à l’origine d’une fuite de données
MFA manquante dans une entreprise de cybersécurité : 12,6 Go de données volées, 1 858 appareils Meraki compromis.