Vaikutus
LiteLLM sisältää kriittisen SQL-injektiohaavoittuvuuden välityspalvelimessaan API-avaimen vahvistusprosessissa [S1]. Tämän puutteen ansiosta todentamattomat hyökkääjät voivat ohittaa tietoturvatarkistukset ja mahdollisesti päästä käsiksi taustalla olevan tietokannan [S1][S3] tietoihin.
Perussyy
Ongelma tunnistetaan nimellä CWE-89 (SQL-injektio) [S1]. Se sijaitsee LiteLLM-välityspalvelinkomponentin [S2] API-avaimen vahvistuslogiikassa. Haavoittuvuus johtuu tietokantakyselyissä [S1] käytetyn syötteen riittämättömästä puhdistamisesta.
Versiot, joita tämä vaikuttaa
Tämä haavoittuvuus [S1] vaikuttaa LiteLLM-versioihin 1.81.16–1.83.6.
Betonikorjauksia
Päivitä LiteLLM versioon 1.83.7 tai uudempaan vähentääksesi tätä haavoittuvuutta [S1].
Kuinka FixVibe testaa sitä
FixVibe sisältää tämän nyt GitHub reposkannauksissa. Tarkistus lukee vain valtuutetut arkiston riippuvuustiedostot, mukaan lukien requirements.txt, pyproject.toml, poetry.lock ja Pipfile.lock. Se merkitsee LiteLLM-nastat tai versiorajoitukset, jotka vastaavat vaikutusaluetta >=1.81.16 <1.83.7, ja raportoi sitten riippuvuustiedoston, rivinumeron, neuvoa-antavat tunnukset, vaikutusalueen ja kiinteän version.
Tämä on staattinen, vain luku -muotoinen repo-tarkistus. Se ei suorita asiakaskoodia eikä lähetä hyötykuormia.