Vpliv
LiteLLM vsebuje kritično ranljivost vbrizgavanja SQL v svojem postopku preverjanja ključa proxy API [S1]. Ta napaka omogoča nepreverjenim napadalcem, da zaobidejo varnostna preverjanja in potencialno dostopajo do podatkov ali izločijo podatke iz osnovne baze podatkov [S1][S3].
Temeljni vzrok
Težava je označena kot CWE-89 (vbrizgavanje SQL) [S1]. Nahaja se v logiki preverjanja ključev API komponente proxy LiteLLM [S2]. Ranljivost izvira iz nezadostne sanacije vnosa, uporabljenega v poizvedbah baze podatkov [S1].
Prizadete različice
Ta ranljivost [S1] vpliva na različice LiteLLM od 1.81.16 do 1.83.6.
Betonski popravki
Posodobite LiteLLM na različico 1.83.7 ali višjo, da ublažite to ranljivost [S1].
Kako ga FixVibe testira
FixVibe to zdaj vključuje v preglede repo GitHub. Preverjanje bere samo datoteke odvisnosti pooblaščenega repozitorija, vključno z requirements.txt, pyproject.toml, poetry.lock in Pipfile.lock. Označi žebljičke LiteLLM ali omejitve različice, ki se ujemajo s prizadetim obsegom >=1.81.16 <1.83.7, nato poroča o datoteki odvisnosti, številki vrstice, svetovalnih ID-jih, prizadetem obsegu in fiksni različici.
To je statično preverjanje repoja samo za branje. Ne izvaja kode stranke in ne pošilja koristnih obremenitev izkoriščanja.