Влијание
LiteLLM содржи критична ранливост за инјектирање SQL во процесот на верификација на клучот за прокси API [S1]. Овој недостаток им овозможува на неавтентицираните напаѓачи да ги заобиколат безбедносните проверки и потенцијално да пристапуваат или да ексфилтрираат податоци од основната база на податоци [S1][S3].
Основна причина
Проблемот е идентификуван како CWE-89 (SQL Injection) [S1]. Се наоѓа во логиката за проверка на клучот API на компонентата LiteLLM Proxy [S2]. Ранливоста произлегува од недоволната санација на влезот што се користи во барањата за базата на податоци [S1].
Засегнати верзии
Верзиите на LiteLLM 1.81.16 до 1.83.6 се погодени од оваа ранливост [S1].
Бетонски поправки
Ажурирајте го LiteLLM на верзија 1.83.7 или повисока за да ја ублажите оваа ранливост [S1].
Како FixVibe тестира за него
FixVibe сега го вклучува ова во GitHub репо скенирања. Проверката ги чита само овластените датотеки за зависност од складиштето, вклучувајќи ги requirements.txt, pyproject.toml, poetry.lock и Pipfile.lock. Ги означува пиновите на LiteLLM или ограничувањата на верзијата што одговараат на засегнатиот опсег >=1.81.16 <1.83.7, а потоа ги пријавува датотеката за зависност, бројот на линијата, советодавните ИД, засегнатиот опсег и фиксната верзија.
Ова е статична репо проверка само за читање. Не го извршува клиентскиот код и не испраќа товари за експлоатација.