Impact
LiteLLM bevat een kritieke kwetsbaarheid voor SQL-injectie in het Proxy API-sleutelverificatieproces [S1]. Door deze fout kunnen niet-geverifieerde aanvallers beveiligingscontroles omzeilen en mogelijk gegevens uit de onderliggende database [S1][S3] openen of exfiltreren.
Oorzaak
Het probleem wordt geïdentificeerd als CWE-89 (SQL-injectie) [S1]. Het bevindt zich in de API-sleutelverificatielogica van de LiteLLM Proxy-component [S2]. Het beveiligingslek komt voort uit onvoldoende opschoning van invoer die wordt gebruikt in databasequery's [S1].
Betrokken versies
LiteLLM-versies 1.81.16 tot en met 1.83.6 worden getroffen door dit beveiligingslek [S1].
Betonreparaties
Update LiteLLM naar versie 1.83.7 of hoger om deze kwetsbaarheid [S1] te beperken.
Hoe FixVibe erop test
FixVibe neemt dit nu op in GitHub repo-scans. De controle leest alleen geautoriseerde repository-afhankelijkheidsbestanden, waaronder requirements.txt, pyproject.toml, poetry.lock en Pipfile.lock. Het markeert LiteLLM-pinnen of versiebeperkingen die overeenkomen met het getroffen bereik >=1.81.16 <1.83.7, en rapporteert vervolgens het afhankelijkheidsbestand, het regelnummer, advies-ID's, het getroffen bereik en de vaste versie.
Dit is een statische, alleen-lezen repositorycontrole. Het voert geen klantcode uit en verzendt geen exploit-payloads.