Virkning
LiteLLM inneholder en kritisk SQL-injeksjonssårbarhet i sin proxy API nøkkelverifiseringsprosess [S1]. Denne feilen lar uautentiserte angripere omgå sikkerhetskontroller og potensielt få tilgang til eller eksfiltrere data fra den underliggende databasen [S1][S3].
Grunnårsak
Problemet er identifisert som CWE-89 (SQL-injeksjon) [S1]. Den er plassert i API-nøkkelverifiseringslogikken til LiteLLM Proxy-komponenten [S2]. Sårbarheten stammer fra utilstrekkelig rensing av input brukt i databasespørringer [S1].
Berørte versjoner
LiteLLM-versjoner 1.81.16 til 1.83.6 påvirkes av dette sikkerhetsproblemet [S1].
Betongrettinger
Oppdater LiteLLM til versjon 1.83.7 eller høyere for å redusere dette sikkerhetsproblemet [S1].
Hvordan FixVibe tester for det
FixVibe inkluderer nå dette i GitHub repo-skanninger. Sjekken leser kun autoriserte depotavhengighetsfiler, inkludert requirements.txt, pyproject.toml, poetry.lock og Pipfile.lock. Den flagger LiteLLM-pinner eller versjonsbegrensninger som samsvarer med det berørte området >=1.81.16 <1.83.7, og rapporterer deretter avhengighetsfilen, linjenummeret, rådgivende ID-er, berørt område og fast versjon.
Dette er en statisk, skrivebeskyttet repo-sjekk. Den kjører ikke kundekode og sender ikke nyttelaster.