LiteLLM’de Kritik SQL Injection Açığı 36 Saatte İstismar Edildi: CVE-2026-42208 Detayları

Yapay zeka altyapı yazılımlarını hedef alan saldırılar hız kesmeden devam ediyor. BerriAI’nin popüler açık kaynaklı LLM proxy yazılımı LiteLLM’de keşfedilen kritik SQL injection açığı, güvenlik danışmanlığının yayınlanmasından yalnızca 36 saat sonra aktif olarak istismar edilmeye başlandı. CVSS puanı 9.3 olan CVE-2026-42208 LiteLLM zafiyeti, saldırganların yapay zeka sağlayıcı anahtarlarını ve bulut kimlik bilgilerini çalmak için proxy veritabanını hedef aldığını gösteriyor.

CVE-2026-42208 Nedir?

CVE-2026-42208, LiteLLM proxy yazılımının API anahtar doğrulama sürecinde bulunan bir SQL injection zafiyeti. Sorunun kökeni, veritabanı sorgusunun çağrıcı tarafından sağlanan anahtar değerini ayrı bir parametre olarak geçirmek yerine doğrudan sorgu metnine karıştırmasından kaynaklanıyor. Bu temel bir güvenlik hatası ve sonuçları son derece ciddi.

Kimlik doğrulaması gerektirmeyen (pre-auth) bu açık, saldırganın özel olarak hazırlanmış bir Authorization başlığını herhangi bir LLM API rotasına göndererek tetiklenebilmesini mümkün kılıyor. Örneğin POST /chat/completions gibi standart bir uç noktaya yapılan istek, proxy’nin hata işleme yolundan geçerek savunmasız sorguya ulaşabiliyor. Başarılı bir istismar durumunda saldırgan, proxy veritabanındaki verileri okuyabiliyor ve değiştirebiliyor; bu da proxy’ye ve yönettiği kimlik bilgilerine yetkisiz erişim anlamına geliyor.

36 Saatte Aktif İstismara Geçiş

Zafiyetin en endişe verici boyutu, istismar hızı. GitHub güvenlik danışmanlığı küresel veritabanında dizine eklendikten yalnızca 26 saat 7 dakika sonra, 26 Nisan 2026 saat 16:17 UTC’de ilk saldırı girişimi kaydedildi. Sysdig güvenlik araştırmacıları tarafından tespit edilen saldırı trafiği, 65.111.27[.]132 IP adresinden kaynaklanıyordu. Kamuya açık bir kavram kanıtı (PoC) exploit kodu bile yayınlanmadan gerçekleşen bu istismar, saldırganların yalnızca güvenlik danışmanlığını ve açık kaynak şema bilgisini kullanarak saldırıyı oluşturduğunu gösteriyor.

Sysdig araştırmacısı Michael Clark, saldırının iki aşamada gerçekleştiğini belirtti. İlk aşamada saldırgan, litellm_credentials.credential_values ve litellm_config tablolarını hedef aldı. Bu tablolar, yukarı akış LLM sağlayıcı anahtarlarını ve proxy çalışma ortamı bilgilerini barındırıyor. Dikkat çekici biçimde litellm_users veya litellm_team gibi tablolara herhangi bir sondaj yapılmadı; bu da saldırganın tablo yapısını bildiğini ve doğrudan hassas sırlara yöneldiğini ortaya koyuyor.

Ele Geçirilen Veriler Neden Bu Kadar Kritik?

LiteLLM, GitHub’da 45.000’den fazla yıldıza ve 7.600 fork’a sahip oldukça popüler bir açık kaynaklı yapay zeka geçidi (AI Gateway) yazılımı. Organizasyonlar bu aracı, farklı LLM sağlayıcılarına (OpenAI, Anthropic, AWS Bedrock vb.) tek bir proxy üzerinden erişmek ve kimlik bilgilerini merkezi olarak yönetmek için kullanıyor.

Sysdig’in vurguladığı kritik nokta şu: Tek bir litellm_credentials satırı genellikle beş haneli aylık harcama limitlerine sahip bir OpenAI organizasyon anahtarı, çalışma alanı yönetici haklarıyla bir Anthropic konsol anahtarı ve bir AWS Bedrock IAM kimlik bilgisi barındırıyor. Başarılı bir veritabanı çıkarma işleminin patlama yarıçapı, tipik bir web uygulaması SQL injection’ından çok daha geniş; bir bulut hesabı ele geçirmesine yakın bir etki alanına sahip.

Saldırının İkinci Aşaması

İlk saldırı dalgasından yaklaşık 20 dakika sonra, aynı operatörün farklı bir IP adresi (65.111.25[.]67) üzerinden ikinci aşama saldırıya geçtiği gözlemlendi. Bu aşamada saldırgan, elde ettiği erişimi kullanarak benzer bir sondaj gerçekleştirdi. İki aşamalı saldırı, operatörün sistemli ve bilinçli bir yaklaşım izlediğini, Prisma tablo isimlerini birebir kullandığını ve üç tablo hedeflemesi ile kasıtlı sütun sayısı numaralandırması yaptığını gösteriyor.

Bu davranış kalıbı, istismarın artık kamuya açık PoC kodlarını beklemeyen, güvenlik danışmanlığı ve açık kaynak şemasından yola çıkarak kendi saldırı vektörünü oluşturabilen sofistike aktörler tarafından gerçekleştirildiğini kanıtlıyor. Sysdig, bu durumu Zero Day Clock tarafından belgelenen daha geniş çaplı istismar penceresi daralmasıyla tutarlı olarak değerlendiriyor.

Tedarik Zinciri Saldırısı Geçmişi

LiteLLM, bu zafiyetten önce de ciddi güvenlik tehditleriyle karşılaşmıştı. Mart 2026’da TeamPCP adlı hacker grubu, projeye yönelik bir tedarik zinciri saldırısı düzenleyerek alt akış kullanıcılardan kimlik bilgilerini ve sırları çalmayı hedeflemişti. Bu olay, yapay zeka altyapı yazılımlarının giderek daha sık hedef alındığını ve saldırganların geleneksel web uygulamalarından yapay zeka proxy’lerine ve geçitlerine yöneldiğini gösteriyor.

CVE-2026-42208’in CVSS 9.3 puanıyla kritik olarak derecelendirilmesi, kimlik doğrulaması gerektirmeden istismar edilebilmesi ve bulut düzeyinde kimlik bilgilerine erişim sağlaması, yapay zeka altyapısının güvenlik açısından ne denli hassas bir alan haline geldiğinin somut bir göstergesi.

Etkilenen Sürümler ve Çözüm Yolları

Zafiyet, LiteLLM’in 1.81.16 ve sonrası ile 1.83.7 öncesi sürümlerini etkiliyor. Sorun, 19 Nisan 2026’da yayınlanan 1.83.7-stable sürümünde giderildi. LiteLLM kullanan tüm organizasyonların en kısa sürede bu sürüme güncelleme yapması gerekiyor.

Anında güncelleme yapılamayan ortamlar için geliştiriciler, geçici bir çözüm sunuyor: general_settings altında disable_error_logs: true ayarını etkinleştirmek, güvenilmeyen girdinin savunmasız sorguya ulaştığı yolu ortadan kaldırıyor. Ancak bu yalnızca geçici bir önlem olup kalıcı çözüm güncelleme yapmaktır. Ayrıca organizasyonlar, LiteLLM proxy’lerinde depolanan tüm LLM sağlayıcı anahtarlarını ve bulut kimlik bilgilerini derhal rotasyona (değiştirmeye) almalıdır.

CVE-2026-42208 LiteLLM zafiyeti, yapay zeka altyapı güvenliğinin yeni sınır çizgisini gösteren bir vaka. Binlerce organizasyonun bulut düzeyinde kimlik bilgilerini merkezi olarak yönetmek için güvendiği bir açık kaynak aracının, temel bir SQL injection hatası nedeniyle 36 saat içinde aktif istismara uğraması, yapay zeka ekosisteminin güvenlik olgunluğunun henüz erken aşamada olduğunu ortaya koyuyor. Güvenlik danışmanlığının yayınlanmasından istismara geçiş süresinin dramatik biçimde kısalması, yama yönetiminin artık günler değil saatler içinde tamamlanması gerektiğini açıkça gösteriyor.

Sıkça Sorulan Sorular