영향
LiteLLM에는 프록시 API 키 확인 프로세스 [S1]에 심각한 SQL 주입 취약점이 포함되어 있습니다. 이 결함으로 인해 인증되지 않은 공격자가 보안 검사를 우회하고 잠재적으로 기본 데이터베이스 [S1][S3]의 데이터에 액세스하거나 유출할 수 있습니다.
근본 원인
이 문제는 CWE-89(SQL 주입) [S1]로 식별됩니다. 이는 LiteLLM 프록시 구성 요소 [S2]의 API 키 확인 논리에 있습니다. 이 취약점은 데이터베이스 쿼리 [S1]에 사용된 입력의 불충분한 삭제로 인해 발생합니다.
영향을 받는 버전
LiteLLM 버전 1.81.16 ~ 1.83.6은 이 취약점 [S1]의 영향을 받습니다.
구체적인 수정
이 취약점 [S1]를 완화하려면 LiteLLM을 1.83.7 버전 이상으로 업데이트하세요.
FixVibe가 이를 테스트하는 방법
FixVibe는 이제 GitHub 저장소 스캔에 이를 포함합니다. 검사에서는 requirements.txt, pyproject.toml, poetry.lock 및 Pipfile.lock를 포함하여 승인된 저장소 종속성 파일만 읽습니다. 영향을 받은 범위 >=1.81.16 <1.83.7와 일치하는 LiteLLM 핀 또는 버전 제약 조건에 플래그를 지정한 다음 종속성 파일, 줄 번호, 권고 ID, 영향을 받은 범위 및 고정 버전을 보고합니다.
이는 정적 읽기 전용 저장소 검사입니다. 고객 코드를 실행하지 않으며 익스플로잇 페이로드를 보내지 않습니다.