Áhrif
LiteLLM inniheldur mikilvægan varnarleysi fyrir SQL innspýting í Proxy API lykilstaðfestingarferlinu [S1]. Þessi galli gerir óvottaðum árásarmönnum kleift að komast framhjá öryggisathugunum og hugsanlega fá aðgang að eða síast úr gögnum úr undirliggjandi gagnagrunninum [S1][S3].
Orsök
Vandamálið er auðkennt sem CWE-89 (SQL Injection) [S1]. Það er staðsett í API lyklastaðfestingarrógík LiteLLM Proxy íhlutans [S2]. Varnarleysið stafar af ófullnægjandi hreinsun inntaks sem notað er í gagnagrunnsfyrirspurnum [S1].
Útgáfur sem hafa áhrif
LiteLLM útgáfur 1.81.16 til 1.83.6 verða fyrir áhrifum af þessum varnarleysi [S1].
Steinsteypa lagfæringar
Uppfærðu LiteLLM í útgáfu 1.83.7 eða nýrri til að draga úr þessum varnarleysi [S1].
Hvernig FixVibe prófar það
FixVibe inniheldur þetta nú í GitHub endurhverfuskönnunum. Ávísunin les eingöngu viðurkenndar ósjálfstæðisskrár, þar á meðal requirements.txt, pyproject.toml, poetry.lock og Pipfile.lock. Það flaggar LiteLLM pinna eða útgáfutakmarkanir sem passa við viðkomandi svið >=1.81.16 <1.83.7, tilkynnir síðan ávanaskrá, línunúmer, ráðgjafaauðkenni, áhrifasvið og fasta útgáfu.
Þetta er kyrrstæð, skrifvarinn endurhverfuathugun. Það keyrir ekki kóða viðskiptavinar og sendir ekki nytjahleðslu.