Utjecaj
LiteLLM sadrži kritičnu ranjivost SQL injekcije u svom proxy API procesu provjere ključa [S1]. Ova greška omogućuje neautentificiranim napadačima da zaobiđu sigurnosne provjere i potencijalno pristupe ili izvuku podatke iz temeljne baze podataka [S1][S3].
Glavni uzrok
Problem je identificiran kao CWE-89 (SQL Injection) [S1]. Nalazi se u API logici provjere ključa LiteLLM Proxy komponente [S2]. Ranjivost proizlazi iz nedovoljne sanacije unosa koji se koristi u upitima baze podataka [S1].
Pogođene verzije
LiteLLM verzije 1.81.16 do 1.83.6 zahvaćene su ovom ranjivošću [S1].
Konkretni popravci
Ažurirajte LiteLLM na verziju 1.83.7 ili noviju kako biste ublažili ovu ranjivost [S1].
Kako FixVibe to testira
FixVibe sada uključuje ovo u GitHub repo skeniranje. Provjera čita samo datoteke ovisnosti ovlaštenog repozitorija, uključujući requirements.txt, pyproject.toml, poetry.lock i Pipfile.lock. Označava LiteLLM pribadače ili ograničenja verzije koja odgovaraju zahvaćenom rasponu >=1.81.16 <1.83.7, zatim prijavljuje datoteku ovisnosti, broj retka, savjetodavne ID-ove, zahvaćeni raspon i fiksnu verziju.
Ovo je statična repo provjera samo za čitanje. Ne izvršava kod korisnika i ne šalje iskorištavanje.