impak
LiteLLM bevat 'n kritieke SQL-inspuiting kwesbaarheid in sy Proxy API sleutel verifikasie proses [S1]. Hierdie fout stel ongeverifieerde aanvallers in staat om sekuriteitskontroles te omseil en moontlik toegang tot of data uit die onderliggende databasis [S1][S3] te verkry.
Oorsaak
Die probleem word geïdentifiseer as CWE-89 (SQL-inspuiting) [S1]. Dit is geleë in die API-sleutelverifikasielogika van die LiteLLM Proxy-komponent [S2]. Die kwesbaarheid spruit uit onvoldoende ontsmetting van insette wat in databasisnavrae gebruik word [S1].
Geaffekteerde weergawes
LiteLLM-weergawes 1.81.16 tot 1.83.6 word deur hierdie kwesbaarheid [S1] geraak.
Betonoplossings
Dateer LiteLLM op na weergawe 1.83.7 of hoër om hierdie kwesbaarheid [S1] te versag.
Hoe FixVibe daarvoor toets
FixVibe sluit dit nou by GitHub repo-skanderings in. Die tjek lees slegs gemagtigde bewaarplekafhanklikheidlêers, insluitend requirements.txt, pyproject.toml, poetry.lock en Pipfile.lock. Dit vlag LiteLLM-penne of weergawebeperkings wat ooreenstem met die geaffekteerde reeks >=1.81.16 <1.83.7, en rapporteer dan die afhanklikheidlêer, lynnommer, advies-ID's, geaffekteerde reeks en vaste weergawe.
Dit is 'n statiese, leesalleen repo-tjek. Dit voer nie kliëntkode uit nie en stuur nie ontginningsloonvragte nie.