Влияние
LiteLLM содержит критическую уязвимость внедрения SQL в процессе проверки ключа прокси API [S1]. Этот недостаток позволяет злоумышленникам, не прошедшим проверку подлинности, обходить проверки безопасности и потенциально получить доступ к данным из базовой базы данных [S1][S3] или украсть их.
Основная причина
Проблема обозначена как CWE-89 (SQL-инъекция) [S1]. Он расположен в логике проверки ключа API компонента прокси-сервера LiteLLM [S2]. Уязвимость связана с недостаточной очисткой входных данных, используемых в запросах к базе данных [S1].
Затронутые версии
Версии LiteLLM с 1.81.16 по 1.83.6 подвержены этой уязвимости [S1].
Конкретные исправления
Обновите LiteLLM до версии 1.83.7 или выше, чтобы устранить эту уязвимость. [S1].
Как FixVibe проверяет это
FixVibe теперь включает это в сканирование репозитория GitHub. Проверка считывает только файлы зависимостей авторизованного репозитория, включая requirements.txt, pyproject.toml, poetry.lock и Pipfile.lock. Он помечает контакты LiteLLM или ограничения версий, которые соответствуют затронутому диапазону >=1.81.16 <1.83.7, затем сообщает файл зависимостей, номер строки, идентификаторы рекомендаций, затронутый диапазон и фиксированную версию.
Это статическая проверка репозитория только для чтения. Он не выполняет код клиента и не отправляет полезные данные эксплойта.