Impatto
LiteLLM contiene una vulnerabilità critica di tipo SQL injection nel processo di verifica della chiave proxy API [S1]. Questo difetto consente agli aggressori non autenticati di aggirare i controlli di sicurezza e potenzialmente accedere o esfiltrare dati dal database sottostante [S1][S3].
Causa principale
Il problema è identificato come CWE-89 (SQL Injection) [S1]. Si trova nella logica di verifica della chiave API del componente proxy LiteLLM [S2]. La vulnerabilità deriva da una pulizia insufficiente dell'input utilizzato nelle query del database [S1].
Versioni interessate
Le versioni LiteLLM da 1.81.16 a 1.83.6 sono interessate da questa vulnerabilità [S1].
Correzioni concrete
Aggiorna LiteLLM alla versione 1.83.7 o successiva per mitigare questa vulnerabilità [S1].
Come lo esegue il test FixVibe
FixVibe ora lo include nelle scansioni dei repository GitHub. Il controllo legge solo i file delle dipendenze del repository autorizzati, inclusi requirements.txt, pyproject.toml, poetry.lock e Pipfile.lock. Contrassegna i pin LiteLLM o i vincoli di versione che corrispondono all'intervallo interessato >=1.81.16 <1.83.7, quindi segnala il file delle dipendenze, il numero di riga, gli ID di avviso, l'intervallo interessato e la versione corretta.
Si tratta di un controllo repository statico e di sola lettura. Non esegue il codice cliente e non invia payload di exploit.