Mõju
LiteLLM sisaldab puhverserveri API võtme kinnitusprotsessis [S1] kriitilist SQL-i süstimise haavatavust. See viga võimaldab autentimata ründajatel turvakontrollist mööda minna ja potentsiaalselt juurde pääseda aluseks olevale andmebaasile [S1][S3] või sealt välja filtreerida.
Algpõhjus
Probleem on tuvastatud kui CWE-89 (SQL-i süstimine) [S1]. See asub LiteLLM-i puhverserveri komponendi [S2] võtme kinnitusloogikas API. Haavatavus tuleneb andmebaasipäringutes [S1] kasutatava sisendi ebapiisavast puhastamisest.
Mõjutatud versioonid
See haavatavus [S1] mõjutab LiteLLM-i versioone 1.81.16 kuni 1.83.6.
Betooniparandused
Värskendage LiteLLM versioonile 1.83.7 või uuemale, et seda haavatavust [S1] leevendada.
Kuidas FixVibe seda testib
FixVibe sisaldab seda nüüd GitHub reposkannides. Kontroll loeb ainult volitatud hoidla sõltuvusfaile, sealhulgas requirements.txt, pyproject.toml, poetry.lock ja Pipfile.lock. See märgib LiteLLM-i tihvtid või versioonipiirangud, mis vastavad mõjutatud vahemikule >=1.81.16 <1.83.7, seejärel teatab sõltuvusfaili, rea numbri, soovituslikud ID-d, mõjutatud vahemiku ja fikseeritud versiooni.
See on staatiline, kirjutuskaitstud repokontroll. See ei käivita kliendikoodi ega saada kasulikku koormust.