แฮกเกอร์เริ่มโจมตีช่องโหว่ SQL Injection ระดับ Critical บน LiteLLM

April 29, 2026 Cybersecurity, Threats Update

พบการโจมตีช่องโหว่ SQL Injection บน LiteLLM ซึ่งเป็น Open Source LLM Gateway ยอดนิยม โดยแฮกเกอร์สามารถเข้าถึงข้อมูลสำคัญอย่าง API Key และ Credential ต่าง ๆ ได้โดยไม่ต้องผ่านการยืนยันตัวตน

ช่องโหว่ดังกล่าวมีรหัส CVE-2026-42208 เป็นช่องโหว่ SQL Injection ที่เกิดขึ้นในขั้นตอนการตรวจสอบ API Key ของ Proxy โดยผู้โจมตีสามารถส่ง Authorization Header ที่ถูกดัดแปลงไปยัง LLM API Route ใดก็ได้โดยไม่ต้องมี Authentication ทำให้สามารถอ่านและแก้ไขข้อมูลในฐานข้อมูลของ Proxy ได้ ซึ่งรวมถึง API Key, Virtual Key, Master Key และ Environment Config ต่าง ๆ ตามคำเตือนจากทีมพัฒนา ช่องโหว่นี้เปิดทางให้เกิดการเข้าถึง Proxy และ Credential ที่จัดเก็บไว้โดยไม่ได้รับอนุญาต LiteLLM เป็น Proxy/SDK Middleware ที่ช่วยให้นักพัฒนาเรียกใช้ AI Model จากหลายผู้ให้บริการผ่าน API เดียว ปัจจุบันมียอด Star บน GitHub กว่า 45,000 และ Fork กว่า 7,600 รายการ

ทีมวิจัยจาก Sysdig รายงานว่าพบการโจมตีช่องโหว่นี้เริ่มขึ้นภายในเวลาเพียงราว 36 ชั่วโมงหลังจากข้อมูลช่องโหว่ถูกเปิดเผยสู่สาธารณะเมื่อวันที่ 24 เมษายนที่ผ่านมา โดยผู้โจมตีส่ง Request ที่ถูกดัดแปลงไปยัง Endpoint /chat/completions พร้อม Authorization: Bearer Header ที่มี SQL Injection Payload เพื่อดึงข้อมูลจาก Table ที่เก็บ API Key, Credential ของผู้ให้บริการอย่าง OpenAI, Anthropic และ Bedrock รวมถึงข้อมูล Environment และ Config ต่าง ๆ Sysdig ระบุว่าผู้โจมตีไม่ได้สุ่มค้นหาข้อมูลทั่วไป แต่มุ่งเป้าไปที่ Table ที่เก็บข้อมูลสำคัญโดยตรง ในระยะที่สองของการโจมตี ผู้โจมตีเปลี่ยน IP Address และส่ง Payload ที่แม่นยำขึ้นโดยใช้ชื่อ Table และโครงสร้างที่ถูกต้องจากการสำรวจในระยะแรก

ทีมพัฒนาได้แก้ไขช่องโหว่แล้วใน LiteLLM เวอร์ชัน 1.83.7 โดยเปลี่ยนจากการต่อ String เป็น Parameterized Query แนะนำให้ผู้ดูแลระบบที่ใช้งาน LiteLLM อัปเดตเป็นเวอร์ชันดังกล่าวโดยด่วน สำหรับผู้ที่ยังไม่สามารถอัปเดตได้ ให้ตั้งค่า disable_error_logs: true ภายใต้ general_settings เพื่อปิดเส้นทางที่ Input สามารถเข้าถึง Query ที่มีช่องโหว่ได้ ทั้งนี้ Sysdig เตือนว่า Instance ที่เปิดให้เข้าถึงจากอินเทอร์เน็ตและยังใช้เวอร์ชันที่มีช่องโหว่อยู่ควรถือว่าอาจถูกโจมตีแล้ว และควร Rotate API Key, Master Key และ Provider Credential ทั้งหมด

ที่มา: https://www.bleepingcomputer.com/news/security/hackers-are-exploiting-a-critical-litellm-pre-auth-sqli-flaw/

Tags

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

รู้จักกับ FortiCNAPP และ eCloudvalley AI-Powered Managed Services เพราะ Cloud Security ไม่ใช่แค่เรื่องของการมีเครื่องมือ

จากผลสำรวจ Cloud Security Report 2026 พบว่า Hybrid Cloud ได้รับความนิยมมากที่สุดในองค์กร และ 1 ใน 3 ของผู้ทำแบบสำรวจยอมรับว่าตนมีใช้ Cloud …

[Video Webinar] Deep Dive DATA Security เพื่อรองรับการมาของยุค Post-Quantum โดย Thales

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย Thales Webinar เรื่อง “Deep Dive DATA Security เพื่อรองรับการมาของยุค Post-Quantum” เพื่อเรียนรู้แนวทางการรักษาความมั่นคงปลอดภัยแห่งอนาคต ให้ก้าวทันยุคใหม่ที่กำลังมาถึง ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา หรือต้องการรับชมการบรรยายซ้ำอีกครั้ง สามารถเข้าชมวิดีโอบันทึกย้อนหลังได้ที่บทความนี้ครับ

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand