Impacto
LiteLLM contiene una vulnerabilidad crítica de inyección SQL en su proceso de verificación de clave Proxy API [S1]. Esta falla permite a atacantes no autenticados eludir los controles de seguridad y potencialmente acceder o extraer datos de la base de datos subyacente [S1][S3].
Causa raíz
El problema se identifica como CWE-89 (inyección SQL) [S1]. Se encuentra en la lógica de verificación de claves API del componente LiteLLM Proxy [S2]. La vulnerabilidad se debe a una limpieza insuficiente de la entrada utilizada en las consultas de la base de datos [S1].
Versiones afectadas
Las versiones LiteLLM 1.81.16 hasta 1.83.6 se ven afectadas por esta vulnerabilidad [S1].
Arreglos concretos
Actualice LiteLLM a la versión 1.83.7 o superior para mitigar esta vulnerabilidad [S1].
Cómo lo prueba FixVibe
FixVibe ahora incluye esto en los escaneos de repositorio de GitHub. La verificación lee únicamente archivos de dependencia de repositorio autorizados, incluidos requirements.txt, pyproject.toml, poetry.lock y Pipfile.lock. Marca los pines LiteLLM o las restricciones de versión que coinciden con el rango afectado >=1.81.16 <1.83.7, luego informa el archivo de dependencia, el número de línea, los ID de aviso, el rango afectado y la versión corregida.
Esta es una verificación de repositorio estática de solo lectura. No ejecuta código de cliente y no envía cargas útiles de explotación.