Covered by FixVibecritical

ಪ್ರಾಕ್ಸಿ API ಕೀ ಪರಿಶೀಲನೆಯಲ್ಲಿ LiteLLM SQL ಇಂಜೆಕ್ಷನ್ (CVE-2026-42208) ZXCVFIXVIBSEGEND ZXCVFIXVIBESEG1 LiteLLM ಆವೃತ್ತಿಗಳು 1.81.16 ರಿಂದ 1.83.6 ಪ್ರಾಕ್ಸಿ API ಕೀ ಪರಿಶೀಲನೆಯಲ್ಲಿ (CVE-2026-42208) ನಿರ್ಣಾಯಕ SQL ಇಂಜೆಕ್ಷನ್‌ಗೆ ಗುರಿಯಾಗುತ್ತವೆ. 1.83.7 ರಲ್ಲಿ ಸ್ಥಿರವಾಗಿದೆ. ZXCVFIXVIBSEGEND ZXCVFIXVIBESEG2 LiteLLM ಆವೃತ್ತಿಗಳು 1.81.16 ರಿಂದ 1.83.6 ಪ್ರಾಕ್ಸಿ CVE-2026-42208 ಕೀ ಪರಿಶೀಲನೆ ತರ್ಕದಲ್ಲಿ ನಿರ್ಣಾಯಕ SQL ಇಂಜೆಕ್ಷನ್ ದುರ್ಬಲತೆಯನ್ನು ಹೊಂದಿರುತ್ತವೆ. ಈ ನ್ಯೂನತೆಯು ದೃಢೀಕರಣ ನಿಯಂತ್ರಣಗಳನ್ನು ಬೈಪಾಸ್ ಮಾಡಲು ಅಥವಾ ಆಧಾರವಾಗಿರುವ ಡೇಟಾಬೇಸ್ ಅನ್ನು ಪ್ರವೇಶಿಸಲು ದೃಢೀಕರಿಸದ ಆಕ್ರಮಣಕಾರರಿಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಸಮಸ್ಯೆಯನ್ನು ಆವೃತ್ತಿ 1.83.7 ರಲ್ಲಿ ಪರಿಹರಿಸಲಾಗಿದೆ. ZXCVFIXVIBSEGEND ZXCVFIXVIBESEG3 ## ಪರಿಣಾಮ ZXCVFIXVIBSEGEND ZXCVFIXVIBESEG4 LiteLLM ತನ್ನ ಪ್ರಾಕ್ಸಿ ZXCVFIXVIBETOKEN3ZXCV ಕೀ ಪರಿಶೀಲನೆ ಪ್ರಕ್ರಿಯೆ CVE-2026-42208 ನಲ್ಲಿ ನಿರ್ಣಾಯಕ SQL ಇಂಜೆಕ್ಷನ್ ದುರ್ಬಲತೆಯನ್ನು ಹೊಂದಿದೆ. ಈ ನ್ಯೂನತೆಯು ದೃಢೀಕರಿಸದ ದಾಳಿಕೋರರಿಗೆ ಭದ್ರತಾ ತಪಾಸಣೆಗಳನ್ನು ಬೈಪಾಸ್ ಮಾಡಲು ಅನುಮತಿಸುತ್ತದೆ ಮತ್ತು ಆಧಾರವಾಗಿರುವ ಡೇಟಾಬೇಸ್ APIZXCVFIXVIBETOKEN2ZXCV ನಿಂದ ಡೇಟಾವನ್ನು ಸಂಭಾವ್ಯವಾಗಿ ಪ್ರವೇಶಿಸಲು ಅಥವಾ ಹೊರಹಾಕಲು ಅನುಮತಿಸುತ್ತದೆ. ZXCVFIXVIBSEGEND ZXCVFIXVIBESEG5 ## ಮೂಲ ಕಾರಣ ZXCVFIXVIBSEGEND ZXCVFIXVIBESEG6 ಸಮಸ್ಯೆಯನ್ನು ZXCVFIXVIBETOKEN3ZXCV (SQL ಇಂಜೆಕ್ಷನ್) CVE-2026-42208 ಎಂದು ಗುರುತಿಸಲಾಗಿದೆ. ಇದು LiteLLM ಪ್ರಾಕ್ಸಿ ಘಟಕ API ನ ZXCVFIXVIBETOKEN4ZXCV ಕೀ ಪರಿಶೀಲನೆ ತರ್ಕದಲ್ಲಿದೆ. ZXCVFIXVIBETOKEN2ZXCV ಡೇಟಾಬೇಸ್ ಪ್ರಶ್ನೆಗಳಲ್ಲಿ ಬಳಸಲಾದ ಇನ್‌ಪುಟ್‌ನ ಸಾಕಷ್ಟು ನೈರ್ಮಲ್ಯೀಕರಣದಿಂದ ದುರ್ಬಲತೆ ಉಂಟಾಗುತ್ತದೆ. ZXCVFIXVIBSEGEND ZXCVFIXVIBESEG7 ## ಬಾಧಿತ ಆವೃತ್ತಿಗಳು ZXCVFIXVIBSEGEND ZXCVFIXVIBESEG8 LiteLLM ಆವೃತ್ತಿಗಳು 1.81.16 ಮೂಲಕ 1.83.6 ಈ ದುರ್ಬಲತೆಯಿಂದ ಪ್ರಭಾವಿತವಾಗಿವೆ CVE-2026-42208. ZXCVFIXVIBSEGEND ZXCVFIXVIBESEG9 ## ಕಾಂಕ್ರೀಟ್ ಪರಿಹಾರಗಳು ZXCVFIXVIBSEGEND ZXCVFIXVIBESEG10 ಈ ದುರ್ಬಲತೆಯನ್ನು CVE-2026-42208 ತಗ್ಗಿಸಲು LiteLLM ಅನ್ನು 1.83.7 ಅಥವಾ ಹೆಚ್ಚಿನ ಆವೃತ್ತಿಗೆ ನವೀಕರಿಸಿ. ZXCVFIXVIBSEGEND ZXCVFIXVIBESEG11 ## CVE-2026-42208 ಹೇಗೆ ಪರೀಕ್ಷಿಸುತ್ತದೆ ZXCVFIXVIBSEGEND ZXCVFIXVIBESEG12 ZXCVFIXVIBETOKEN5ZXCV ಈಗ ಇದನ್ನು ZXCVFIXVIBETOKEN6ZXCV ರೆಪೊ ಸ್ಕ್ಯಾನ್‌ಗಳಲ್ಲಿ ಒಳಗೊಂಡಿದೆ. ಚೆಕ್ CVE-2026-42208, API, ZXCVFIXVIBETOKEN2ZXCV, ಮತ್ತು ZXCVFIXVIBETOKEN3ZXCV ಸೇರಿದಂತೆ ಅಧಿಕೃತ ರೆಪೊಸಿಟರಿ ಅವಲಂಬನೆ ಫೈಲ್‌ಗಳನ್ನು ಮಾತ್ರ ಓದುತ್ತದೆ. ಇದು ಪೀಡಿತ ಶ್ರೇಣಿ ZXCVFIXVIBETOKEN4ZXCV ಗೆ ಹೊಂದಿಕೆಯಾಗುವ LiteLLM ಪಿನ್‌ಗಳು ಅಥವಾ ಆವೃತ್ತಿ ನಿರ್ಬಂಧಗಳನ್ನು ಫ್ಲ್ಯಾಗ್ ಮಾಡುತ್ತದೆ, ನಂತರ ಅವಲಂಬನೆ ಫೈಲ್, ಲೈನ್ ಸಂಖ್ಯೆ, ಸಲಹಾ ಐಡಿಗಳು, ಪೀಡಿತ ಶ್ರೇಣಿ ಮತ್ತು ಸ್ಥಿರ ಆವೃತ್ತಿಯನ್ನು ವರದಿ ಮಾಡುತ್ತದೆ. ZXCVFIXVIBSEGEND ZXCVFIXVIBESEG13 ಇದು ಸ್ಥಿರ, ಓದಲು-ಮಾತ್ರ ರೆಪೊ ಚೆಕ್ ಆಗಿದೆ. ಇದು ಗ್ರಾಹಕ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವುದಿಲ್ಲ ಮತ್ತು ಶೋಷಣೆ ಪೇಲೋಡ್‌ಗಳನ್ನು ಕಳುಹಿಸುವುದಿಲ್ಲ.

LiteLLM versions 1.81.16 through 1.83.6 contain a critical SQL injection vulnerability in the Proxy API key verification logic. This flaw allows unauthenticated attackers to bypass authentication controls or access the underlying database. The issue is resolved in version 1.83.7.

CVE-2026-42208GHSA-r75f-5x8p-qvmcCWE-89

Impact

LiteLLM contains a critical SQL injection vulnerability in its Proxy API key verification process [S1]. This flaw allows unauthenticated attackers to bypass security checks and potentially access or exfiltrate data from the underlying database [S1][S3].

Root Cause

The issue is identified as CWE-89 (SQL Injection) [S1]. It is located in the API key verification logic of the LiteLLM Proxy component [S2]. The vulnerability stems from insufficient sanitization of input used in database queries [S1].

Affected Versions

LiteLLM versions 1.81.16 through 1.83.6 are affected by this vulnerability [S1].

Concrete Fixes

Update LiteLLM to version 1.83.7 or higher to mitigate this vulnerability [S1].

How FixVibe tests for it

FixVibe now includes this in GitHub repo scans. The check reads authorized repository dependency files only, including requirements.txt, pyproject.toml, poetry.lock, and Pipfile.lock. It flags LiteLLM pins or version constraints that match the affected range >=1.81.16 <1.83.7, then reports the dependency file, line number, advisory IDs, affected range, and fixed version.

This is a static, read-only repo check. It does not execute customer code and does not send exploit payloads.