Impatt
LiteLLM fih vulnerabbiltà kritika ta' injezzjoni SQL fil-proċess ta' verifika taċ-ċavetta tal-Proxy API tiegħu [S1]. Dan id-difett jippermetti lil attakkanti mhux awtentikati li jaħarbu l-kontrolli tas-sigurtà u potenzjalment jaċċessaw jew jesfiltraw data mid-database sottostanti [S1][S3].
Kawża Għerq
Il-kwistjoni hija identifikata bħala CWE-89 (Injezzjoni SQL) [S1]. Hija tinsab fil-loġika tal-verifika ewlenija API tal-komponent Proxy LiteLLM [S2]. Il-vulnerabbiltà ġejja minn sanitizzazzjoni insuffiċjenti tal-input użat fil-mistoqsijiet tad-database [S1].
Verżjonijiet Affettwati
Verżjonijiet LiteLLM 1.81.16 sa 1.83.6 huma affettwati minn din il-vulnerabbiltà [S1].
Fixs tal-Konkrit
Aġġorna LiteLLM għall-verżjoni 1.83.7 jew ogħla biex tittaffa din il-vulnerabilità [S1].
Kif FixVibe jittestja għaliha
FixVibe issa jinkludi dan fi GitHub repo scans. Il-kontroll jaqra fajls ta' dipendenza tar-repożitorji awtorizzati biss, inklużi requirements.txt, pyproject.toml, poetry.lock, u Pipfile.lock. Hija timmarka pinnijiet LiteLLM jew restrizzjonijiet tal-verżjoni li jaqblu mal-firxa affettwata >=1.81.16 <1.83.7, imbagħad tirrapporta l-fajl tad-dipendenza, in-numru tal-linja, l-IDs konsultattivi, il-firxa affettwata, u l-verżjoni fissa.
Din hija verifika repo statika li tinqara biss. Ma jesegwixxix kodiċi tal-klijent u ma jibgħatx payloads ta' sfruttament.