Αντίκτυπος
Το LiteLLM περιέχει μια κρίσιμη ευπάθεια SQL injection στη διαδικασία επαλήθευσης κλειδιού Proxy API [S1]. Αυτό το ελάττωμα επιτρέπει στους μη επιβεβαιωμένους εισβολείς να παρακάμπτουν τους ελέγχους ασφαλείας και ενδεχομένως να έχουν πρόσβαση ή να διεισδύουν σε δεδομένα από την υποκείμενη βάση δεδομένων [S1][S3].
Ριζική αιτία
Το ζήτημα προσδιορίζεται ως CWE-89 (SQL Injection) [S1]. Βρίσκεται στη λογική επαλήθευσης κλειδιού API του στοιχείου LiteLLM Proxy [S2]. Η ευπάθεια προέρχεται από την ανεπαρκή εξυγίανση των εισροών που χρησιμοποιούνται στα ερωτήματα της βάσης δεδομένων [S1].
Επηρεασμένες εκδόσεις
Οι εκδόσεις LiteLLM 1.81.16 έως 1.83.6 επηρεάζονται από αυτήν την ευπάθεια [S1].
Διορθώσεις σκυροδέματος
Ενημερώστε το LiteLLM στην έκδοση 1.83.7 ή νεότερη για να μετριαστεί αυτή η ευπάθεια [S1].
Πώς το FixVibe το δοκιμάζει
Το FixVibe το περιλαμβάνει τώρα στις σαρώσεις αποθετηρίου GitHub. Ο έλεγχος διαβάζει μόνο τα εξουσιοδοτημένα αρχεία εξάρτησης αποθετηρίου, συμπεριλαμβανομένων των requirements.txt, pyproject.toml, poetry.lock και Pipfile.lock. Επισημαίνει pins ή περιορισμούς έκδοσης LiteLLM που αντιστοιχούν στο επηρεαζόμενο εύρος >=1.81.16 <1.83.7 και, στη συνέχεια, αναφέρει το αρχείο εξάρτησης, τον αριθμό γραμμής, τα αναγνωριστικά συμβουλών, το επηρεαζόμενο εύρος και τη σταθερή έκδοση.
Αυτός είναι ένας στατικός έλεγχος repo μόνο για ανάγνωση. Δεν εκτελεί κωδικό πελάτη και δεν στέλνει ωφέλιμα φορτία εκμετάλλευσης.