Въздействие
LiteLLM съдържа критична уязвимост при инжектиране на SQL в своя процес на проверка на ключ за прокси API [S1]. Този пропуск позволява на неупълномощени нападатели да заобиколят проверките за сигурност и потенциално да получат достъп или да извлекат данни от основната база данни [S1][S3].
Първопричина
Проблемът е идентифициран като CWE-89 (SQL инжектиране) [S1]. Той се намира в логиката за проверка на ключ API на компонента LiteLLM Proxy [S2]. Уязвимостта произтича от недостатъчна дезинфекция на входа, използван в заявките към базата данни [S1].
Засегнати версии
LiteLLM версии 1.81.16 до 1.83.6 са засегнати от тази уязвимост [S1].
Конкретни поправки
Актуализирайте LiteLLM до версия 1.83.7 или по-нова, за да смекчите тази уязвимост [S1].
Как FixVibe го тества
FixVibe вече включва това в GitHub репо сканирания. Проверката чете само оторизирани файлове за зависимости на хранилище, включително requirements.txt, pyproject.toml, poetry.lock и Pipfile.lock. Той маркира LiteLLM щифтове или ограничения на версията, които съответстват на засегнатия диапазон >=1.81.16 <1.83.7, след което докладва файла на зависимостта, номера на реда, препоръчителните идентификатори, засегнатия диапазон и фиксираната версия.
Това е статична репо проверка само за четене. Той не изпълнява клиентски код и не изпраща експлойт полезни натоварвания.