השפעה
LiteLLM מכילה פגיעות קריטית של הזרקת SQL בתהליך אימות מפתח Proxy API [S1]. פגם זה מאפשר לתוקפים לא מאומתים לעקוף בדיקות אבטחה ועלול לגשת או להסתנן לנתונים ממסד הנתונים הבסיסי [S1][S3].
סיבת שורש
הבעיה מזוהה כ-CWE-89 (SQL Injection) [S1]. הוא ממוקם בלוגיקת אימות מפתח API של רכיב LiteLLM Proxy [S2]. הפגיעות נובעת מחטא לא מספיק של הקלט המשמש בשאילתות מסד הנתונים [S1].
גרסאות מושפעות
גרסאות LiteLLM 1.81.16 עד 1.83.6 מושפעות מפגיעות זו [S1].
תיקוני בטון
עדכן את LiteLLM לגרסה 1.83.7 ומעלה כדי לצמצם את הפגיעות הזו [S1].
כיצד FixVibe בודק את זה
FixVibe כולל כעת את זה בסריקות ריפו של GitHub. הסימון קורא קובצי תלות מורשה במאגר בלבד, כולל requirements.txt, pyproject.toml, poetry.lock ו-Pipfile.lock. הוא מסמן סיכות LiteLLM או אילוצי גרסה התואמים את הטווח המושפע >=1.81.16 <1.83.7, ולאחר מכן מדווח על קובץ התלות, מספר השורה, מזהי הייעוץ, הטווח המושפע והגרסה הקבועה.
זהו בדיקת ריפו סטטית לקריאה בלבד. הוא אינו מפעיל קוד לקוח ואינו שולח מטענים מנצלים.