Impacte
LiteLLM conté una vulnerabilitat crítica d'injecció SQL al seu procés de verificació de claus de proxy API [S1]. Aquesta fallada permet als atacants no autenticats evitar les comprovacions de seguretat i, potencialment, accedir o exfiltrar dades de la base de dades subjacent [S1][S3].
Causa arrel
El problema s'identifica com a CWE-89 (injecció SQL) [S1]. Es troba a la lògica de verificació de claus API del component LiteLLM Proxy [S2]. La vulnerabilitat prové d'una desinfecció insuficient de l'entrada utilitzada a les consultes de bases de dades [S1].
Versions afectades
Les versions de LiteLLM 1.81.16 a 1.83.6 es veuen afectades per aquesta vulnerabilitat [S1].
Correccions concretes
Actualitzeu LiteLLM a la versió 1.83.7 o superior per mitigar aquesta vulnerabilitat [S1].
Com ho prova FixVibe
FixVibe ara inclou això a les exploracions de repo GitHub. La comprovació només llegeix fitxers de dependència del dipòsit autoritzat, inclosos requirements.txt, pyproject.toml, poetry.lock i Pipfile.lock. Marca els pins de LiteLLM o les restriccions de versió que coincideixen amb l'interval afectat >=1.81.16 <1.83.7 i, a continuació, informa del fitxer de dependència, el número de línia, els identificadors d'avís, l'interval afectat i la versió fixa.
Aquesta és una comprovació de repositori estàtica i només de lectura. No executa codi de client i no envia càrregues útils d'explotació.