تاثیر
LiteLLM حاوی یک آسیبپذیری مهم تزریق SQL در فرآیند تأیید کلید Proxy API [S1] است. این نقص به مهاجمان احراز هویت نشده اجازه می دهد تا بررسی های امنیتی را دور بزنند و به طور بالقوه به داده ها از پایگاه داده زیربنایی [S1][S3] دسترسی یا استخراج کنند.
علت اصلی
مشکل به عنوان CWE-89 (تزریق SQL) [S1] شناسایی شده است. در منطق تأیید کلید API جزء LiteLLM Proxy [S2] قرار دارد. این آسیبپذیری ناشی از سالمسازی ناکافی ورودیهای مورد استفاده در جستارهای پایگاه داده [S1] است.
نسخه های تحت تأثیر
نسخه های LiteLLM 1.81.16 تا 1.83.6 تحت تأثیر این آسیب پذیری [S1] قرار دارند.
رفع بتنی
برای کاهش این آسیب پذیری [S1]، LiteLLM را به نسخه 1.83.7 یا بالاتر به روز کنید.
چگونه FixVibe آن را آزمایش می کند
FixVibe اکنون این مورد را در اسکن های مخزن GitHub شامل می شود. چک فقط فایلهای وابستگی مخزن مجاز را میخواند، از جمله requirements.txt، pyproject.toml، poetry.lock، و Pipfile.lock. پینهای LiteLLM یا محدودیتهای نسخهای را که با محدوده آسیبدیده >=1.81.16 <1.83.7 مطابقت دارند علامتگذاری میکند، سپس فایل وابستگی، شماره خط، شناسههای مشاوره، محدوده آسیبدیده و نسخه ثابت را گزارش میکند.
این یک چک مخزن استاتیک و فقط خواندنی است. کد مشتری را اجرا نمی کند و بارهای اکسپلویت را ارسال نمی کند.