Impattu
LiteLLM cuntene una vulnerabilità critica di iniezione SQL in u so prucessu di verificazione di chjave Proxy API [S1]. Stu difettu permette à l'attaccanti micca autenticati di scaccià i cuntrolli di sicurezza è potenzialmente accede o esfiltrate e dati da a basa di dati sottostanti [S1][S3].
Causa Root
U prublema hè identificatu cum'è CWE-89 (SQL Injection) [S1]. Hè situatu in a logica di verificazione di chjave API di u cumpunente LiteLLM Proxy [S2]. A vulnerabilità deriva da una sanitizazione insufficiente di l'input utilizatu in e dumande di basa di dati [S1].
Versioni affettate
LiteLLM versioni 1.81.16 à 1.83.6 sò affettati da sta vulnerabilità [S1].
Correzioni Concrete
Aghjurnate LiteLLM à a versione 1.83.7 o superiore per mitigà sta vulnerabilità [S1].
Cumu FixVibe prova per questu
FixVibe include avà questu in GitHub repo scans. U cuntrollu leghje solu i fugliali di dipendenza di u repositoriu autorizatu, cumprese requirements.txt, pyproject.toml, poetry.lock, è Pipfile.lock. Segnala i pin LiteLLM o i vincoli di versione chì currispondenu à a gamma affettata >=1.81.16 <1.83.7, dopu riporta u schedariu di dipendenza, u numeru di linea, l'ID di cunsigliu, a gamma affettata è a versione fissa.
Questu hè un verificatu repo staticu, solu lettura. Ùn eseguisce micca u codice di u cliente è ùn manda micca carichi di sfruttamentu.