Impact
LiteLLM conține o vulnerabilitate critică de injectare SQL în procesul său de verificare a cheii Proxy API [S1]. Acest defect permite atacatorilor neautentificați să ocolească verificările de securitate și să acceseze sau să exfiltreze datele din baza de date de bază [S1][S3].
Cauza fundamentală
Problema este identificată ca CWE-89 (SQL Injection) [S1]. Este situat în logica de verificare a cheii API a componentei LiteLLM Proxy [S2]. Vulnerabilitatea provine din igienizarea insuficientă a intrărilor utilizate în interogările bazei de date [S1].
Versiuni afectate
Versiunile LiteLLM 1.81.16 până la 1.83.6 sunt afectate de această vulnerabilitate [S1].
Remedieri concrete
Actualizați LiteLLM la versiunea 1.83.7 sau o versiune ulterioară pentru a atenua această vulnerabilitate [S1].
Cum testează FixVibe pentru aceasta
FixVibe include acum acest lucru în scanările repo GitHub. Verificarea citește numai fișierele de dependență de depozit autorizate, inclusiv requirements.txt, pyproject.toml, poetry.lock și Pipfile.lock. Semnalează pinii LiteLLM sau constrângerile de versiune care se potrivesc cu intervalul afectat >=1.81.16 <1.83.7, apoi raportează fișierul de dependență, numărul de linie, ID-urile de consultanță, intervalul afectat și versiunea fixă.
Aceasta este o verificare statică, numai pentru citire. Nu execută cod de client și nu trimite încărcături utile de exploatare.