Vplyv
LiteLLM obsahuje kritickú zraniteľnosť vstrekovania SQL v procese overovania kľúča proxy API [S1]. Táto chyba umožňuje neovereným útočníkom obísť bezpečnostné kontroly a potenciálne získať prístup k údajom alebo ich exfiltrovať zo základnej databázy [S1][S3].
Hlavná príčina
Problém je identifikovaný ako CWE-89 (SQL Injection) [S1]. Nachádza sa v logike overenia kľúča API komponentu LiteLLM Proxy [S2]. Zraniteľnosť pramení z nedostatočnej dezinfekcie vstupu používaného v databázových dotazoch [S1].
Ovplyvnené verzie
Verzie LiteLLM 1.81.16 až 1.83.6 sú ovplyvnené touto chybou zabezpečenia [S1].
Opravy betónu
Aktualizujte LiteLLM na verziu 1.83.7 alebo vyššiu, aby ste zmiernili túto chybu zabezpečenia [S1].
Ako to testuje FixVibe
FixVibe to teraz zahŕňa v repo skenoch GitHub. Kontrola číta iba súbory závislostí autorizovaného úložiska vrátane requirements.txt, pyproject.toml, poetry.lock a Pipfile.lock. Označí piny LiteLLM alebo obmedzenia verzie, ktoré zodpovedajú ovplyvnenému rozsahu >=1.81.16 <1.83.7, a potom nahlási súbor závislosti, číslo riadku, poradné ID, ovplyvnený rozsah a pevnú verziu.
Toto je statická repo kontrola len na čítanie. Nevykonáva zákaznícky kód a neposiela užitočné zaťaženia.