Уплыў
LiteLLM змяшчае крытычную ўразлівасць SQL-ін'екцыі ў працэсе праверкі ключа [S1] API. Гэты недахоп дазваляе неаўтэнтыфікаваным зламыснікам абыходзіць праверкі бяспекі і патэнцыйна атрымліваць доступ або выкрасці даныя з асноўнай базы дадзеных [S1][S3].
Першапрычына
Праблема пазначана як CWE-89 (SQL Injection) [S1]. Ён знаходзіцца ў логіцы праверкі ключа API кампанента LiteLLM Proxy [S2]. Уразлівасць узнікае з-за недастатковай ачысткі ўваходных дадзеных, якія выкарыстоўваюцца ў запытах да базы дадзеных [S1].
Закранутыя версіі
Версіі LiteLLM з 1.81.16 па 1.83.6 падвяргаюцца ўздзеянню гэтай уразлівасці [S1].
Канкрэтныя выпраўленні
Абнавіце LiteLLM да версіі 1.83.7 або вышэй, каб паменшыць гэтую ўразлівасць [S1].
Як FixVibe правярае гэта
FixVibe цяпер уключае гэта ў сканаванне рэпа GitHub. Праверка чытае толькі файлы залежнасцяў аўтарызаванага сховішча, уключаючы requirements.txt, pyproject.toml, poetry.lock і Pipfile.lock. Ён адзначае штыфты LiteLLM або абмежаванні версій, якія адпавядаюць закранутаму дыяпазону >=1.81.16 <1.83.7, затым паведамляе файл залежнасцей, нумар радка, кансультатыўныя ідэнтыфікатары, закрануты дыяпазон і фіксаваную версію.
Гэта статычная праверка РЭПО толькі для чытання. Ён не выконвае код кліента і не адпраўляе карысныя нагрузкі.