Ietekme
LiteLLM savā starpniekservera API atslēgas verifikācijas procesā [S1] satur kritisku SQL injekcijas ievainojamību. Šis trūkums ļauj neautentificētiem uzbrucējiem apiet drošības pārbaudes un, iespējams, piekļūt vai izfiltrēt datus no pamatā esošās datu bāzes [S1][S3].
Galvenais cēlonis
Problēma ir identificēta kā CWE-89 (SQL injekcija) [S1]. Tas atrodas LiteLLM starpniekservera komponenta [S2] atslēgas verifikācijas loģikā API. Ievainojamība rodas tāpēc, ka datu bāzes vaicājumos [S1] izmantotā ievade nav pietiekami veikta.
Ietekmētās versijas
LiteLLM versijas 1.81.16 līdz 1.83.6 ietekmē šī ievainojamība [S1].
Betona labojumi
Atjauniniet LiteLLM uz versiju 1.83.7 vai jaunāku, lai mazinātu šo ievainojamību [S1].
Kā FixVibe to pārbauda
FixVibe tagad tas ir iekļauts GitHub repo skenēs. Pārbaudē tiek nolasīti tikai autorizētie repozitorija atkarības faili, tostarp requirements.txt, pyproject.toml, poetry.lock un Pipfile.lock. Tas atzīmē LiteLLM tapas vai versiju ierobežojumus, kas atbilst ietekmētajam diapazonam >=1.81.16 <1.83.7, pēc tam ziņo par atkarības failu, rindas numuru, konsultatīvos ID, ietekmēto diapazonu un fiksēto versiju.
Šī ir statiska, tikai lasāma repo pārbaude. Tas neizpilda klienta kodu un nenosūta ekspluatācijas lietderīgās slodzes.