##Impact LiteLLM contient une vulnérabilité critique d'injection SQL dans son processus de vérification de clé proxy API [S1]. Cette faille permet à des attaquants non authentifiés de contourner les contrôles de sécurité et potentiellement d'accéder ou d'exfiltrer les données de la base de données sous-jacente [S1][S3].
Cause première
Le problème est identifié comme CWE-89 (injection SQL) [S1]. Il se trouve dans la logique de vérification de clé API du composant proxy LiteLLM [S2]. La vulnérabilité provient d'une vérification insuffisante des entrées utilisées dans les requêtes de base de données [S1].
Versions concernées
Les versions LiteLLM 1.81.16 à 1.83.6 sont affectées par cette vulnérabilité [S1].
Réparations concrètes
Mettez à jour LiteLLM vers la version 1.83.7 ou supérieure pour atténuer cette vulnérabilité [S1].
Comment FixVibe le teste
FixVibe l'inclut désormais dans les analyses de dépôt GitHub. La vérification lit uniquement les fichiers de dépendance du référentiel autorisés, notamment requirements.txt, pyproject.toml, poetry.lock et Pipfile.lock. Il signale les broches LiteLLM ou les contraintes de version qui correspondent à la plage affectée >=1.81.16 <1.83.7, puis signale le fichier de dépendance, le numéro de ligne, les ID d'avis, la plage affectée et la version corrigée.
Il s'agit d'une vérification de dépôt statique en lecture seule. Il n'exécute pas de code client et n'envoie pas de charges utiles d'exploit.