Wpływ
LiteLLM zawiera krytyczną lukę umożliwiającą wstrzyknięcie SQL w procesie weryfikacji klucza proxy API [S1]. Ta luka pozwala nieuwierzytelnionym atakującym ominąć kontrole bezpieczeństwa i potencjalnie uzyskać dostęp do danych z podstawowej bazy danych [S1][S3] lub je wydobyć.
Główna przyczyna
Problem jest identyfikowany jako CWE-89 (wstrzyknięcie SQL) [S1]. Znajduje się w logice weryfikacji klucza API komponentu LiteLLM Proxy [S2]. Luka wynika z niewystarczającego oczyszczenia danych wejściowych używanych w zapytaniach do bazy danych [S1].
Wersje, których dotyczy problem
Wersje LiteLLM od 1.81.16 do 1.83.6 są dotknięte tą luką [S1].
Poprawki betonu
Zaktualizuj LiteLLM do wersji 1.83.7 lub wyższej, aby ograniczyć tę lukę [S1].
Jak FixVibe to testuje
FixVibe uwzględnia to teraz w skanach repozytorium GitHub. Kontrola odczytuje tylko pliki zależności autoryzowanego repozytorium, w tym requirements.txt, pyproject.toml, poetry.lock i Pipfile.lock. Oznacza piny LiteLLM lub ograniczenia wersji pasujące do zakresu, którego dotyczy problem >=1.81.16 <1.83.7, a następnie zgłasza plik zależności, numer linii, identyfikatory doradcze, zakres, którego dotyczy problem i poprawioną wersję.
Jest to statyczna kontrola repo przeznaczona tylko do odczytu. Nie wykonuje kodu klienta i nie wysyła ładunków exploitów.