Агентство по кибербезопасности и защите инфраструктуры США (CISA) включило новую уязвимость в свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities). Речь идёт о проблеме CVE-2026-42208, затрагивающей популярный прокси-сервер для работы с языковыми моделями.
Уязвимость CVE-2026-42208
Речь идёт о критическом недостатке в продукте BerriAI LiteLLM. Это решение выступает в роли шлюза (AI Gateway) между приложениями и интерфейсами прикладного программирования (API) языковых моделей. Фактически, LiteLLM позволяет разработчикам унифицировать вызовы к системам вроде ChatGPT в стандартном формате OpenAI. В связи с быстрым ростом популярности генеративного искусственного интеллекта, подобные инструменты становятся всё более востребованными. Следовательно, их уязвимости представляют серьёзную угрозу для экосистемы предприятий, использующих LLM-решения в своей инфраструктуре.
Суть проблемы кроется в некорректной обработке запросов к базе данных при проверке ключей доступа к прокси. Начиная с версии 1.81.16 и вплоть до версии 1.83.7, система смешивала предоставленный пользователем ключ с текстом самого запроса. Иными словами, значение ключа подставлялось напрямую в SQL-запрос, а не передавалось отдельным параметром. Это классический вектор для SQL-инъекции (внедрения вредоносных запросов в базу данных). Подобная техника позволяет злоумышленнику манипулировать структурой запроса, изменяя его логику.
Для эксплуатации этой уязвимости атакующему не требуется предварительная аутентификация. Достаточно отправить специально сформированный HTTP-заголовок Authorization на любой маршрут, предназначенный для вызова языковых моделей. Например, наиболее очевидным путём является отправка запроса на конечную точку POST /chat/completions. Вредоносный запрос проходит через механизм обработки ошибок прокси и достигает базы данных, где и происходит внедрение. Как следствие, злоумышленник может не только читать данные из базы, но и модифицировать их.
Последствия успешной атаки могут быть крайне серьёзными. База данных LiteLLM содержит ключи доступа к различным API языковых моделей, а также учётные данные самого прокси. Получив к ним доступ, злоумышленник способен использовать ресурсы моделей для своих целей, перехватывать историю запросов пользователей или даже изменять конфигурацию сервера. Это фактически означает полную компрометацию инфраструктуры, связанной с обработкой запросов к LLM.
Согласно шкале оценки уязвимостей (CVSS), проблема получила максимальный критический рейтинг - 9,8 балла из 10. Эксперты оценивают вектор атаки как удалённый (AV:N), требующий низкой сложности (AC:L) и не нуждающийся в привилегиях (PR:N). Взаимодействие с пользователем также не требуется (UI:N). Всё это означает, что атаку может осуществить любой желающий, имеющий доступ к сети, без каких-либо дополнительных условий. Показатели конфиденциальности, целостности и доступности (C:H/I:H/A:H) также оценены как высокие.
Разработчики BerriAI уже выпустили исправление в версии 1.83.7. Команда проекта рекомендует как можно скорее обновить все инсталляции до актуальной версии. В связи с тем, что CISA включила данную уязвимость в свой каталог на основании подтверждённых случаев эксплуатации, организациям федерального правительства США предписано устранить проблему в течение трёх недель. Однако для коммерческих организаций промедление также может быть опасным.
Специалисты по информационной безопасности отмечают несколько важных моментов. Во-первых, подобные инциденты подчёркивают уязвимость инфраструктурных компонентов, которые стремительно внедряются в корпоративную среду без должного аудита безопасности. Во-вторых, проблема демонстрирует, что даже зрелые проекты с открытым исходным кодом могут допускать фундаментальные ошибки проектирования - использование конкатенации строк при построении SQL-запросов является одной из самых старых и хорошо известных категорий уязвимостей.
Напомним, что SQL-инъекции остаются одной из наиболее распространённых угроз для веб-приложений. Несмотря на то, что современные фреймворки и библиотеки предоставляют механизмы параметризации запросов, ошибки разработчиков по-прежнему ведут к появлению таких "дыр" в безопасности. В случае с AI Gateway LiteLLM последствия усугубляются тем, что уязвимость затрагивает процесс аутентификации, который обычно считается первой линией обороны.
Рекомендации для администраторов, использующих LiteLLM, очевидны: немедленно обновить систему до версии 1.83.7 или выше. Кроме того, стоит провести аудит журналов доступа на предмет подозрительных запросов к конечным точкам API, особенно тех, которые содержат нестандартные или избыточные символы в заголовке авторизации. Также полезно будет убедиться, что сама база данных не содержит учётных данных или информации, которая не должна быть доступна прокси.
Этот случай в очередной раз подтверждает правило: критическая уязвимость может скрываться не в сложной логике, а в базовых ошибках реализации. И пока компании спешат интегрировать инструменты искусственного интеллекта в свои процессы, вопросы безопасности таких интеграций остаются крайне актуальными.
Ссылки
- https://www.cisa.gov/news-events/alerts/2026/05/08/cisa-adds-one-known-exploited-vulnerability-catalog
- https://www.cve.org/CVERecord?id=CVE-2026-42208
- https://nvd.nist.gov/vuln/detail/CVE-2026-42208
- https://github.com/BerriAI/litellm/security/advisories/GHSA-r75f-5x8p-qvmc
