Indvirkning
LiteLLM indeholder en kritisk SQL-injektionssårbarhed i sin Proxy API nøgleverifikationsproces [S1]. Denne fejl gør det muligt for uautoriserede angribere at omgå sikkerhedstjek og potentielt få adgang til eller eksfiltrere data fra den underliggende database [S1][S3].
Grundårsag
Problemet er identificeret som CWE-89 (SQL Injection) [S1]. Den er placeret i API nøgleverifikationslogikken for LiteLLM Proxy-komponenten [S2]. Sårbarheden stammer fra utilstrækkelig rensning af input brugt i databaseforespørgsler [S1].
Berørte versioner
LiteLLM-versionerne 1.81.16 til 1.83.6 er påvirket af denne sårbarhed [S1].
Konkrete rettelser
Opdater LiteLLM til version 1.83.7 eller nyere for at afhjælpe denne sårbarhed [S1].
Hvordan FixVibe tester for det
FixVibe inkluderer nu dette i GitHub repo-scanninger. Kontrollen læser kun autoriserede lagerafhængighedsfiler, inklusive requirements.txt, pyproject.toml, poetry.lock og Pipfile.lock. Den markerer LiteLLM-stifter eller versionsbegrænsninger, der matcher det berørte område >=1.81.16 <1.83.7, og rapporterer derefter afhængighedsfilen, linjenummeret, rådgivende ID'er, berørt område og den faste version.
Dette er et statisk, skrivebeskyttet repo-tjek. Den udfører ikke kundekode og sender ikke udnyttede nyttelaster.