Dampak
LiteLLM berisi kerentanan injeksi SQL kritis dalam proses verifikasi kunci Proxy API [S1]. Cacat ini memungkinkan penyerang yang tidak diautentikasi untuk melewati pemeriksaan keamanan dan berpotensi mengakses atau mengekstrak data dari database yang mendasarinya [S1][S3].
Akar Penyebab
Masalah ini diidentifikasi sebagai CWE-89 (Injeksi SQL) [S1]. Itu terletak di logika verifikasi kunci API dari komponen Proxy LiteLLM [S2]. Kerentanan ini berasal dari sanitasi input yang tidak memadai yang digunakan dalam kueri database [S1].
Versi yang Terkena Dampak
Versi LiteLLM 1.81.16 hingga 1.83.6 terpengaruh oleh kerentanan [S1] ini.
Perbaikan Beton
Perbarui LiteLLM ke versi 1.83.7 atau lebih tinggi untuk memitigasi kerentanan ini [S1].
Bagaimana FixVibe mengujinya
FixVibe sekarang menyertakan ini dalam pemindaian repo GitHub. Pemeriksaan hanya membaca file ketergantungan repositori resmi, termasuk requirements.txt, pyproject.toml, poetry.lock, dan Pipfile.lock. Ini menandai pin LiteLLM atau batasan versi yang cocok dengan rentang yang terpengaruh >=1.81.16 <1.83.7, lalu melaporkan file ketergantungan, nomor baris, ID penasehat, rentang yang terpengaruh, dan versi tetap.
Ini adalah pemeriksaan repo statis dan hanya-baca. Itu tidak mengeksekusi kode pelanggan dan tidak mengirimkan muatan eksploitasi.