التأثير
يحتوي LiteLLM على ثغرة أمنية خطيرة في حقن SQL في عملية التحقق من مفتاح Proxy API [S1]. يسمح هذا الخلل للمهاجمين غير المصادق عليهم بتجاوز عمليات التحقق الأمني وربما الوصول إلى البيانات أو استخراجها من قاعدة البيانات الأساسية [S1][S3].
السبب الجذري
تم تعريف المشكلة على أنها CWE-89 (حقن SQL) [S1]. وهو موجود في منطق التحقق من المفتاح API لمكون LiteLLM Proxy [S2]. تنبع الثغرة الأمنية من عدم كفاية عملية تحسين المدخلات المستخدمة في استعلامات قاعدة البيانات [S1].
الإصدارات المتأثرة
تتأثر إصدارات LiteLLM 1.81.16 إلى 1.83.6 بهذه الثغرة الأمنية [S1].
الإصلاحات الخرسانية
قم بتحديث LiteLLM إلى الإصدار 1.83.7 أو أعلى للتخفيف من هذه الثغرة الأمنية [S1].
كيفية اختبار FixVibe لذلك
يتضمن FixVibe هذا الآن في عمليات فحص الريبو GitHub. يقرأ الفحص ملفات تبعية المستودع المعتمدة فقط، بما في ذلك requirements.txt، وpyproject.toml، وpoetry.lock، وPipfile.lock. يقوم بوضع علامة على دبابيس LiteLLM أو قيود الإصدار التي تطابق النطاق المتأثر >=1.81.16 <1.83.7، ثم يقوم بالإبلاغ عن ملف التبعية ورقم السطر والمعرفات الاستشارية والنطاق المتأثر والإصدار الثابت.
هذا فحص ريبو ثابت للقراءة فقط. لا ينفذ تعليمات برمجية للعميل ولا يرسل حمولات استغلال.