Poveikis
„LiteLLM“ tarpinio serverio API rakto patvirtinimo procese [S1] yra kritinis SQL įpurškimo pažeidžiamumas. Ši klaida leidžia neautentifikuotiems užpuolikams apeiti saugos patikras ir galimai pasiekti arba išfiltruoti duomenis iš pagrindinės duomenų bazės [S1][S3].
Pagrindinė priežastis
Problema nustatyta kaip CWE-89 (SQL įpurškimas) [S1]. Jis yra „LiteLLM Proxy“ komponento [S2] API rakto patvirtinimo logikoje. Pažeidžiamumas kyla dėl nepakankamo įvesties, naudojamos duomenų bazės užklausose [S1], valymo.
Paveiktos versijos
Šis pažeidžiamumas [S1] turi įtakos „LiteLLM“ versijoms 1.81.16–1.83.6.
Betoniniai pataisymai
Atnaujinkite „LiteLLM“ į 1.83.7 arba naujesnę versiją, kad sumažintumėte šį pažeidžiamumą [S1].
Kaip FixVibe tai tikrina
FixVibe dabar tai įtraukta į GitHub atpirkimo nuskaitymus. Patikra nuskaito tik įgaliotus saugyklos priklausomybės failus, įskaitant requirements.txt, pyproject.toml, poetry.lock ir Pipfile.lock. Ji pažymi „LiteLLM“ kaiščius arba versijos apribojimus, atitinkančius paveiktą diapazoną >=1.81.16 <1.83.7, tada praneša apie priklausomybės failą, eilutės numerį, patariamuosius ID, paveiktą diapazoną ir fiksuotą versiją.
Tai statinis, tik skaitomas atpirkimo patikrinimas. Jis nevykdo kliento kodo ir nesiunčia išnaudotų naudingų krovinių.