FixVibe
Covered by FixVibecritical

LiteLLM Proxy SQL Injection (CVE-2026-42208)

LiteLLM-ийн прокси бүрэлдэхүүн хэсэг дэх чухал SQL тарилгын эмзэг байдал (CVE-2026-42208) нь халдагчдад API түлхүүр баталгаажуулах процессыг ашиглан нэвтрэлт танилтыг тойрч гарах эсвэл мэдээллийн сангийн нууц мэдээлэлд хандах боломжийг олгодог.

CVE-2026-42208GHSA-r75f-5x8p-qvmcCWE-89

Нөлөөлөл

LiteLLM-ийн 1.81.16-аас 1.83.7 хүртэлх хувилбарууд нь прокси-ийн API түлхүүр баталгаажуулах механизмын [S1] доторх чухал SQL тарилгын эмзэг байдлыг агуулдаг. Амжилттай мөлжлөг нь баталгаажуулаагүй халдагчид [S1] аюулгүй байдлын хяналтыг давах эсвэл өгөгдлийн сангийн зөвшөөрөлгүй үйлдлүүдийг хийх боломжийг олгодог. Энэ эмзэг байдалд CVSS-ийн 9.8 оноо өгсөн нь системийн нууцлал, бүрэн бүтэн байдалд [S2] өндөр нөлөө үзүүлж байгааг харуулж байна.

Үндсэн шалтгаан

LiteLLM прокси нь Authorization өгөгдлийн сангийн асуулгад [S1]-г ашиглахаас өмнө API түлхүүрийг зохих ёсоор ариутгаж, параметржүүлээгүйгээс ийм эмзэг байдал үүссэн. Энэ нь толгой хэсэгт суулгасан хортой SQL тушаалуудыг [S3] арын мэдээллийн баазаар гүйцэтгэх боломжийг олгодог.

Нөлөөлөлд өртсөн хувилбарууд

  • LiteLLM: 1.81.16-аас (гэхдээ оруулаагүй) 1.83.7 [S1] хүртэлх хувилбарууд.

Бетон засвар

  • LiteLLM-г шинэчлэх: [S1] тарилгын дутагдлыг нөхөхийн тулд litellm багцыг нэн даруй 1.83.7 эсвэл түүнээс хойшхи хувилбар болгон шинэчилнэ үү.
  • Аудит мэдээллийн сангийн бүртгэл: Өгөгдлийн сангийн хандалтын бүртгэлийг [S1] прокси үйлчилгээнээс үүссэн ер бусын асуулгын загвар эсвэл гэнэтийн синтакс байгаа эсэхийг шалгана уу.

Илрүүлэх логик

Аюулгүй байдлын багууд өртөлтийг дараах байдлаар тодорхойлж болно:

  • Хувилбар скан хийх: Нөлөөлөлд өртсөн муж (1.81.16-аас 1.83.6) [S1] доторх LiteLLM хувилбаруудын орчныг шалгаж байна.
  • Толгойн хяналт: LiteLLM прокси руу ирж буй хүсэлтийг Authorization: Bearer жетон талбарын [S1] доторх SQL тарилгын загварыг тусгайлан шалгах.