สรุปสั้น

BerriAI LiteLLM ซึ่งเป็น Python proxy ยอดนิยมที่ช่วยให้นักพัฒนาเชื่อมต่อกับ LLM หลายตัว (OpenAI, Anthropic, Google ฯลฯ) ผ่าน API เดียว ถูกพบช่องโหว่ SQL injection ร้ายแรง CVE-2026-42208 (CVSS 9.3) ปัญหาเกิดจากการที่ระบบนำค่า API key จาก Authorization header ไปต่อใน SQL query โดยตรงแทนที่จะใช้ parameterized query ผู้โจมตีสามารถส่ง crafted Authorization header ไปยัง API route ใดก็ได้ เช่น POST /chat/completions เพื่ออ่านและแก้ไขฐานข้อมูลของ proxy ขโมย API key ของ LLM provider ต่าง ๆ ที่เก็บอยู่ในระบบ ช่องโหว่นี้ถูก exploit ในสภาพแวดล้อมจริงภายในเพียง 36 ชั่วโมงหลังเปิดเผย CISA ได้บรรจุเข้า KEV catalog เมื่อ 8 พฤษภาคม 2026

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 20 เมษายน พ.ศ. 2569 ว่า LiteLLM เป็นเครื่องมือที่นิยมใช้เป็น AI gateway หรือ LLM proxy ในองค์กรที่ต้องการจัดการการเรียกใช้ LLM หลายตัวผ่าน unified API เดียว ช่องโหว่ CVE-2026-42208 เป็น SQL injection ที่เกิดขึ้นในกระบวนการตรวจสอบ API key ของ proxy เมื่อ request เข้ามา ระบบจะนำค่า key จาก Authorization header ไปตรวจสอบกับฐานข้อมูล แต่แทนที่จะใช้ parameterized query กลับนำค่า key ไปต่อใน query string โดยตรง ทำให้ผู้โจมตีสามารถ inject SQL ผ่าน error-handling path ได้ ผู้โจมตีมุ่งเป้าไปที่ตาราง litellm_credentials.credential_values และ litellm_config ซึ่งเก็บ API key ของ upstream LLM provider ต่าง ๆ เช่น OpenAI, Anthropic, Google และค่าตั้งค่า runtime environment ช่องโหว่กระทบ LiteLLM เวอร์ชัน 1.81.16 ถึง 1.83.6 และได้รับการแก้ไขแล้วในเวอร์ชัน 1.83.7

วิธีการโจมตี

ผู้โจมตีส่ง HTTP request ที่มี crafted Authorization header ไปยัง API route ใดก็ได้ของ LiteLLM proxy เช่น POST /chat/completions โดย SQL payload ถูกซ่อนอยู่ในค่า API key เมื่อ proxy นำค่านี้ไปตรวจสอบผ่าน error-handling path จะเกิด SQL injection ที่ให้ผู้โจมตีอ่านข้อมูลจากฐานข้อมูลได้โดยไม่ต้องยืนยันตัวตน (pre-auth) เป้าหมายหลักคือการขโมย API key ที่เก็บอยู่ในตาราง credentials ซึ่งเป็น key ที่ใช้เรียก LLM service ต่าง ๆ หาก key เหล่านี้ถูกขโมย ผู้โจมตีสามารถนำไปใช้สร้างค่าใช้จ่ายมหาศาลหรือเข้าถึงข้อมูลที่ผ่าน LLM ได้

ผลกระทบต่อไทย

สตาร์ทอัพ AI และบริษัทเทคโนโลยีในประเทศไทยที่กำลังพัฒนาแอปพลิเคชัน AI จำนวนมากใช้ LiteLLM เป็น gateway ในการเชื่อมต่อ LLM หลายตัว โดยเฉพาะในโปรเจกต์ที่ต้องเปรียบเทียบหรือสลับระหว่าง provider ต่าง ๆ หาก LiteLLM proxy ที่ใช้ในองค์กรไทยถูกโจมตี API key ของบริการ LLM ทั้งหมดที่เก็บอยู่ในระบบจะถูกขโมย ส่งผลให้เกิดค่าใช้จ่ายจากการใช้ API โดยไม่ได้รับอนุญาต การรั่วไหลของ system prompt และข้อมูลที่ประมวลผลผ่าน LLM รวมถึงข้อมูลลูกค้าที่อาจผ่านระบบ AI ของพวกเขา

คำแนะนำ

  • อัปเดต LiteLLM เป็นเวอร์ชัน 1.83.7 หรือใหม่กว่าโดยด่วน
  • ตรวจสอบว่า LiteLLM proxy ไม่ได้เปิดเข้าถึงจากอินเทอร์เน็ตโดยตรง ควรอยู่หลัง VPN หรือ internal network
  • หมุนเวียน (rotate) API key ของ LLM provider ทั้งหมดที่เก็บใน LiteLLM ทันที
  • ตรวจสอบ billing ของ LLM provider ว่ามีการใช้งานผิดปกติหรือไม่
  • เปิดใช้ rate limiting และ monitoring สำหรับ LiteLLM API endpoints
  • พิจารณาใช้ secret management tool (เช่น HashiCorp Vault) แทนการเก็บ API key ในฐานข้อมูลของ proxy โดยตรง

แหล่งอ้างอิง