FixVibe
Covered by FixVibecritical

LiteLLM Takawaenga SQL Werohanga (CVE-2026-42208)

He whakaraeraetanga werohanga SQL nui (CVE-2026-42208) i roto i te waahanga takawaenga a LiteLLM ka taea e nga kaiwhaiwhai te karo i te whakamotuhēhēnga, te uru atu ranei ki nga korero papaaarangi tairongo ma te whakamahi i te API tukanga manatoko matua.

CVE-2026-42208GHSA-r75f-5x8p-qvmcCWE-89

Paanga

Ko nga putanga LiteLLM 1.81.16 ki te 1.83.7 kei roto he whakaraeraetanga whakaraeraetanga whakaraeraetanga SQL i roto i te API o te takawaenga manatoko matua [S1]. Ko te mahi angitū ka taea e te kaitukino kaore i whakamanahia ki te karo i nga mana haumarutanga, ki te mahi ranei i nga mahi paatengi raraunga kore mana [S1]. Ko tenei whakaraeraetanga ka whakawhiwhia ki te kaute CVSS o 9.8, e whakaatu ana i tana paanga nui ki te muna o te punaha me te pono [S2].

Take Putake

Kei te noho te whakaraeraetanga na te mea karekau te takawaenga LiteLLM ki te horoi tika, ki te tawhāiti ranei i te taviri API e whakaratohia ana i te pane Authorization i mua i te whakamahi i roto i te uiuinga raraunga [S1]. Ma tenei ka taea nga whakahau SQL kino kua mau ki roto i te pane kia mahia e te papaunga raraunga [S3].

Putanga Paa

  • LiteLLM: Putanga 1.81.16 tae noa ki (engari kaore e uru) 1.83.7 [S1].

Whakatika Raima

  • Whakahoutanga LiteLLM: Whakahou tonu i te kete litellm ki te putanga 1.83.7 ranei i muri mai ki te tarai i te koha wero [S1].
  • Raraunga Raraunga Raraunga Takitahi: Arotakehia nga raarangi urunga raraunga mo nga tauira patai rereke, he wetereo ohorere ranei i ahu mai i te ratonga takawaenga [S1].

Arorau Rapu

Ka taea e nga roopu haumaru te tautuhi i te whakaaturanga ma te:

  • Te Matawai Putanga: Te tirotiro i nga whakaaturanga taiao mo nga putanga LiteLLM i roto i te awhe kua pangia (1.81.16 ki te 1.83.6) [S1].
  • Aroturuki Pane: Te tirotiro i nga tono taumai ki te takawaenga LiteLLM mo nga tauira werohanga SQL i roto i te mara tohu Authorization: Bearer [S1].