Impacto
LiteLLM contém uma vulnerabilidade crítica de injeção de SQL em seu processo de verificação de chave Proxy API [S1]. Essa falha permite que invasores não autenticados contornem as verificações de segurança e potencialmente acessem ou extraiam dados do banco de dados subjacente [S1][S3].
Causa Raiz
O problema é identificado como CWE-89 (SQL Injection) [S1]. Ele está localizado na lógica de verificação de chave API do componente LiteLLM Proxy [S2]. A vulnerabilidade decorre da limpeza insuficiente da entrada usada nas consultas do banco de dados [S1].
Versões afetadas
As versões LiteLLM 1.81.16 a 1.83.6 são afetadas por esta vulnerabilidade [S1].
Correções de concreto
Atualize o LiteLLM para a versão 1.83.7 ou superior para mitigar esta vulnerabilidade [S1].
Como FixVibe testa isso
FixVibe agora inclui isso nas varreduras de repositório GitHub. A verificação lê apenas arquivos de dependência de repositório autorizado, incluindo requirements.txt, pyproject.toml, poetry.lock e Pipfile.lock. Ele sinaliza os pinos LiteLLM ou restrições de versão que correspondem ao intervalo afetado >=1.81.16 <1.83.7 e, em seguida, relata o arquivo de dependência, o número da linha, os IDs de aconselhamento, o intervalo afetado e a versão corrigida.
Esta é uma verificação de repositório estática e somente leitura. Ele não executa código do cliente e não envia cargas úteis de exploração.