Americká agentura CISA do katalogu Known Exploited Vulnerabilities zařadila jeden nový aktivně zneužívaný záznam: SQL injection v open-source proxy serveru BerriAI LiteLLM. Postiženy jsou nasazení, která provoz LiteLLM vystavují bez aktualizace na opravenou větev.

CVE-2026-42208 – BerriAI LiteLLM. Zranitelnost s identifikátorem CWE-89 (SQL injection) umožňuje útočníkovi číst data z proxy databáze a potenciálně je i upravovat. LiteLLM je široce nasazovaný open-source proxy server, který sjednocuje rozhraní k velkým jazykovým modelům (OpenAI, Anthropic, Google a další) a typicky uchovává v interní databázi konfiguraci routovacích pravidel, virtuální API klíče pro koncové aplikace, telemetrii útrat a logy konverzací. Úspěšné zneužití chyby znamená neoprávněný přístup k proxy a k pověřením, která spravuje. Útočník tak může nejen unést přístupy k upstream LLM poskytovatelům na účet provozovatele, ale i číst historii dotazů a tím získat citlivá data, která uživatelé do modelů poslali. CISA stanovila lhůtu pro implementaci opatření na 11. května 2026, údaj o známém využití v ransomware kampani je „neznámé". Záplata je dostupná, projekt informaci o opravě publikoval v bezpečnostním poradenství GHSA-r75f-5x8p-qvmc. Provozovatel má aktualizovat na opravenou verzi, případně omezit dostupnost endpointů, dokud aktualizace neproběhne.

Kontext pro evropské provozovatele: LiteLLM v posledních měsících strmě roste jako vrstva, přes kterou organizace přistupují k více LLM dodavatelům najednou. To dělá z proxy přitažlivý cíl, protože koncentruje API klíče k více službám a často i logy. Dodavatelské řetězce, ve kterých LiteLLM figuruje jako proxy mezi interní aplikací a komerčním LLM, je vhodné okamžitě prověřit – ne všichni provozovatelé si jsou vědomi, že LiteLLM v jejich nasazení vůbec běží (typicky bývá schovaný v interní platformě pro AI).