Impact
LiteLLM sadrži kritičnu ranjivost SQL injekcije u svom proxy API procesu provjere ključa [S1]. Ova mana omogućava neautorizovanim napadačima da zaobiđu sigurnosne provjere i potencijalno pristupe ili eksfiltriraju podatke iz osnovne baze podataka [S1][S3].
Osnovni uzrok
Problem je identificiran kao CWE-89 (SQL Injection) [S1]. Nalazi se u logici provjere ključa API LiteLLM proxy komponente [S2]. Ranjivost proizilazi iz nedovoljne sanitacije unosa koji se koristi u upitima baze podataka [S1].
Zahvaćene verzije
LiteLLM verzije od 1.81.16 do 1.83.6 su pogođene ovom ranjivošću [S1].
Betonski popravci
Ažurirajte LiteLLM na verziju 1.83.7 ili noviju da biste ublažili ovu ranjivost [S1].
Kako FixVibe testira za to
FixVibe sada uključuje ovo u GitHub repo skeniranja. Provjera čita samo ovlaštene datoteke ovisnosti spremišta, uključujući requirements.txt, pyproject.toml, poetry.lock i Pipfile.lock. Označava LiteLLM pinove ili ograničenja verzije koja se podudaraju sa zahvaćenim rasponom >=1.81.16 <1.83.7, zatim izvještava o fajlu zavisnosti, broju linije, ID-ovima savjeta, zahvaćenom rasponu i fiksnoj verziji.
Ovo je statična repo provjera samo za čitanje. Ne izvršava korisnički kod i ne šalje korisne podatke o eksploataciji.