Impakt
LiteLLM enthält eng kritesch SQL Injektioun Schwachstelle a senger Proxy API Schlësselverifikatiounsprozess [S1]. Dëse Feeler erlaabt onauthentifizéiert Ugräifer d'Sécherheetschecken ëmzegoen a potenziell Zougang zu Daten aus der Basisdatenbank [S1][S3] z'erreechen oder ze exfiltréieren.
Root Ursaach
D'Thema gëtt identifizéiert als CWE-89 (SQL Injection) [S1]. Et läit an der API Schlësselverifizéierungslogik vun der LiteLLM Proxy Komponent [S2]. D'Schwachheet staamt aus net genuch Sanitäriséierung vum Input, deen an Datebankufroen benotzt gëtt [S1].
Betraff Versiounen
LiteLLM Versiounen 1.81.16 duerch 1.83.6 si vun dëser Schwachstelle betraff [S1].
Beton Fixes
Update LiteLLM op Versioun 1.83.7 oder méi héich fir dës Schwachstelle [S1] ze reduzéieren.
Wéi FixVibe Tester fir et
FixVibe enthält dëst elo an GitHub Repo Scans. De Scheck liest nëmmen autoriséiert Repository Ofhängegkeetsdateien, dorënner requirements.txt, pyproject.toml, poetry.lock, an Pipfile.lock. Et markéiert LiteLLM Pins oder Versiounsbeschränkungen, déi dem betraffene Beräich >=1.81.16 <1.83.7 passen, mellt dann d'Ofhängegkeetsdatei, d'Linnnummer, d'Berodungs-IDen, de betraffene Beräich a fixe Versioun.
Dëst ass e statesche, liesbare Repo Scheck. Et féiert kee Clientscode aus a schéckt keng Exploit Notzlaascht.