Auswirkungen
LiteLLM enthält eine kritische SQL-Injection-Schwachstelle in seinem Proxy-API-Schlüsselüberprüfungsprozess [S1]. Dieser Fehler ermöglicht es nicht authentifizierten Angreifern, Sicherheitsüberprüfungen zu umgehen und möglicherweise auf Daten aus der zugrunde liegenden Datenbank [S1][S3] zuzugreifen oder diese zu exfiltrieren.
Grundursache
Das Problem wird als CWE-89 (SQL-Injection) [S1] identifiziert. Es befindet sich in der Schlüsselüberprüfungslogik API der LiteLLM-Proxy-Komponente [S2]. Die Sicherheitslücke beruht auf einer unzureichenden Bereinigung der in Datenbankabfragen verwendeten Eingaben [S1].
Betroffene Versionen
Die LiteLLM-Versionen 1.81.16 bis 1.83.6 sind von dieser Schwachstelle [S1] betroffen.
Konkrete Korrekturen
Aktualisieren Sie LiteLLM auf Version 1.83.7 oder höher, um diese Sicherheitslücke [S1] zu schließen.
Wie FixVibe darauf testet
FixVibe schließt dies jetzt in GitHub-Repo-Scans ein. Die Prüfung liest nur autorisierte Repository-Abhängigkeitsdateien, einschließlich requirements.txt, pyproject.toml, poetry.lock und Pipfile.lock. Es markiert LiteLLM-Pins oder Versionseinschränkungen, die mit dem betroffenen Bereich >=1.81.16 <1.83.7 übereinstimmen, und meldet dann die Abhängigkeitsdatei, die Zeilennummer, die Empfehlungs-IDs, den betroffenen Bereich und die feste Version.
Dies ist eine statische, schreibgeschützte Repo-Prüfung. Es führt keinen Kundencode aus und sendet keine Exploit-Payloads.