Hatás
A LiteLLM kritikus SQL-befecskendezési biztonsági rést tartalmaz a API proxy kulcsellenőrzési folyamatában, a [S1]. Ez a hiba lehetővé teszi a nem hitelesített támadók számára, hogy megkerüljék a biztonsági ellenőrzéseket, és potenciálisan hozzáférjenek az alapul szolgáló adatbázishoz, vagy kiszűrjék az adatokat a [S1][S3] adatbázisból.
Kiváltó ok
A probléma a következőképpen azonosítható: CWE-89 (SQL-injekció) [S1]. A LiteLLM Proxy [S2] komponens API kulcsellenőrző logikájában található. A sérülékenység a [S1] adatbázis-lekérdezésekben használt bemenetek elégtelen tisztításából adódik.
Érintett verziók
A LiteLLM 1.81.16–1.83.6 verzióit érinti ez a biztonsági rés ([S1]).
Konkrét javítások
Frissítse a LiteLLM-et 1.83.7 vagy újabb verzióra a [S1] biztonsági rés enyhítése érdekében.
Hogyan teszteli a FixVibe
A FixVibe most ezt tartalmazza a GitHub repo szkennelésekben. Az ellenőrzés csak az engedélyezett lerakat-függőségi fájlokat olvassa be, beleértve a requirements.txt, pyproject.toml, poetry.lock és Pipfile.lock fájlokat. Megjelöli azokat a LiteLLM tűket vagy verziókényszereket, amelyek megfelelnek az érintett tartománynak (>=1.81.16 <1.83.7), majd jelenti a függőségi fájlt, a sorszámot, a tanácsadó azonosítókat, az érintett tartományt és a rögzített verziót.
Ez egy statikus, csak olvasható repo-ellenőrzés. Nem hajtja végre az ügyfélkódot, és nem küld kizsákmányoló terhelést.