Kesan
LiteLLM mengandungi kerentanan suntikan SQL yang kritikal dalam proses pengesahan kunci API Proksinya [S1]. Kecacatan ini membolehkan penyerang yang tidak disahkan memintas pemeriksaan keselamatan dan berkemungkinan mengakses atau menyisihkan data daripada pangkalan data asas [S1][S3].
Punca Punca
Isu ini dikenal pasti sebagai CWE-89 (SQL Injection) [S1]. Ia terletak dalam logik pengesahan kunci API bagi komponen Proksi LiteLLM [S2]. Kerentanan berpunca daripada sanitasi input yang tidak mencukupi yang digunakan dalam pertanyaan pangkalan data [S1].
Versi Terjejas
Versi LiteLLM 1.81.16 hingga 1.83.6 dipengaruhi oleh kerentanan ini [S1].
Pembetulan Konkrit
Kemas kini LiteLLM kepada versi 1.83.7 atau lebih tinggi untuk mengurangkan kerentanan ini [S1].
Bagaimana FixVibe mengujinya
FixVibe kini menyertakan ini dalam imbasan repo GitHub. Semakan membaca fail pergantungan repositori yang dibenarkan sahaja, termasuk requirements.txt, pyproject.toml, poetry.lock dan Pipfile.lock. Ia membenderakan pin LiteLLM atau kekangan versi yang sepadan dengan julat terjejas >=1.81.16 <1.83.7, kemudian melaporkan fail pergantungan, nombor baris, ID nasihat, julat terjejas dan versi tetap.
Ini ialah semakan repo statik, baca sahaja. Ia tidak melaksanakan kod pelanggan dan tidak menghantar muatan mengeksploitasi.