影響
LiteLLM には、プロキシ API キー検証プロセス [S1] に重大な SQL インジェクションの脆弱性が含まれています。この欠陥により、認証されていない攻撃者がセキュリティ チェックをバイパスし、基礎となるデータベース [S1][S3] にアクセスしたり、データを窃取したりする可能性があります。
根本原因
この問題は、CWE-89 (SQL インジェクション) [S1] として特定されます。これは、LiteLLM プロキシ コンポーネント [S2] の API キー検証ロジックにあります。この脆弱性は、データベース クエリ [S1] で使用される入力のサニタイズが不十分であることに起因します。
影響を受けるバージョン
LiteLLM バージョン 1.81.16 ~ 1.83.6 は、この脆弱性 [S1] の影響を受けます。
具体的な修正
この脆弱性 [S1] を軽減するには、LiteLLM をバージョン 1.83.7 以降に更新してください。
FixVibe がそれをテストする方法
FixVibe では、これが GitHub リポジトリ スキャンに含まれるようになりました。このチェックでは、requirements.txt、pyproject.toml、poetry.lock、Pipfile.lock など、承認されたリポジトリ依存関係ファイルのみを読み取ります。影響を受ける範囲 >=1.81.16 <1.83.7 に一致する LiteLLM ピンまたはバージョン制約にフラグを立て、依存関係ファイル、行番号、アドバイザリ ID、影響を受ける範囲、および修正バージョンをレポートします。
これは静的な読み取り専用リポジトリ チェックです。顧客のコードは実行されず、エクスプロイト ペイロードも送信されません。