Epekto
Naglalaman ang LiteLLM ng kritikal na kahinaan ng SQL injection sa Proxy nito na API key verification process [S1]. Ang kapintasan na ito ay nagbibigay-daan sa mga hindi napatotohanang umaatake na i-bypass ang mga pagsusuri sa seguridad at potensyal na i-access o i-exfiltrate ang data mula sa pinagbabatayan na database na [S1][S3].
Root Cause
Ang isyu ay kinilala bilang CWE-89 (SQL Injection) [S1]. Ito ay matatagpuan sa API key verification logic ng LiteLLM Proxy component na [S2]. Ang kahinaan ay nagmumula sa hindi sapat na sanitization ng input na ginamit sa mga query sa database [S1].
Mga Apektadong Bersyon
Ang mga bersyon ng LiteLLM 1.81.16 hanggang 1.83.6 ay apektado ng kahinaang ito [S1].
Mga Konkretong Pag-aayos
I-update ang LiteLLM sa bersyon 1.83.7 o mas mataas para mabawasan ang kahinaang ito [S1].
Paano sinusuri ito ng FixVibe
Kasama na ito sa FixVibe sa mga pag-scan ng repo ng GitHub. Ang tseke ay nagbabasa lamang ng mga awtorisadong repositoryong dependency file, kabilang ang requirements.txt, pyproject.toml, poetry.lock, at Pipfile.lock. Nagba-flag ito ng mga LiteLLM pin o mga hadlang sa bersyon na tumutugma sa apektadong hanay na >=1.81.16 <1.83.7, pagkatapos ay iuulat ang dependency file, numero ng linya, mga advisory ID, apektadong saklaw, at nakapirming bersyon.
Ito ay isang static, read-only na repo check. Hindi ito nag-execute ng customer code at hindi nagpapadala ng mga exploit payload.