Dopad
LiteLLM obsahuje kritickou chybu zabezpečení vkládání SQL v procesu ověřování klíče proxy API [S1]. Tato chyba umožňuje neověřeným útočníkům obejít bezpečnostní kontroly a potenciálně získat přístup k datům ze základní databáze [S1][S3] nebo je z ní exfiltrovat.
Hlavní příčina
Problém je identifikován jako CWE-89 (SQL Injection) [S1]. Nachází se v logice ověření klíče API komponenty LiteLLM Proxy [S2]. Tato zranitelnost pramení z nedostatečné dezinfekce vstupu používaného v databázových dotazech [S1].
Dotčené verze
Verze LiteLLM 1.81.16 až 1.83.6 jsou ovlivněny touto chybou zabezpečení [S1].
Opravy betonu
Aktualizujte LiteLLM na verzi 1.83.7 nebo vyšší, abyste tuto chybu zabezpečení zmírnili [S1].
Jak to testuje FixVibe
FixVibe to nyní zahrnuje do repo skenů GitHub. Kontrola čte pouze soubory závislostí autorizovaného úložiště, včetně requirements.txt, pyproject.toml, poetry.lock a Pipfile.lock. Označí piny LiteLLM nebo omezení verze, které odpovídají ovlivněnému rozsahu >=1.81.16 <1.83.7, a poté oznámí soubor závislosti, číslo řádku, poradní ID, ovlivněný rozsah a pevnou verzi.
Toto je statická repo kontrola pouze pro čtení. Neprovádí zákaznický kód a neposílá zneužití dat.