Ndikimi
LiteLLM përmban një cenueshmëri kritike të injektimit SQL në procesin e verifikimit të çelësit të Proxy API [S1]. Kjo e metë i lejon sulmuesit e paautentikuar të anashkalojnë kontrollet e sigurisë dhe potencialisht të aksesojnë ose të nxjerrin të dhëna nga baza e të dhënave themelore [S1][S3].
Shkaku rrënjësor
Problemi është identifikuar si CWE-89 (Injeksion SQL) [S1]. Ndodhet në logjikën e verifikimit të çelësit API të komponentit LiteLLM Proxy [S2]. Dobësia rrjedh nga dezinfektimi i pamjaftueshëm i hyrjes së përdorur në pyetjet e bazës së të dhënave [S1].
Versione të prekura
Versionet LiteLLM 1.81.16 deri 1.83.6 preken nga kjo cenueshmëri [S1].
Rregullime konkrete
Përditësoni LiteLLM në versionin 1.83.7 ose më të lartë për të zbutur këtë dobësi [S1].
Si e teston FixVibe për të
FixVibe tani e përfshin këtë në skanimet e repove GitHub. Kontrolli lexon vetëm skedarët e varësisë së depove të autorizuara, duke përfshirë requirements.txt, pyproject.toml, poetry.lock dhe Pipfile.lock. Ai shënon kunjat e LiteLLM ose kufizimet e versionit që përputhen me diapazonin e prekur >=1.81.16 <1.83.7, më pas raporton skedarin e varësisë, numrin e linjës, ID-të këshilluese, diapazonin e prekur dhe versionin fiks.
Ky është një kontroll statik i repove vetëm për lexim. Ai nuk ekzekuton kodin e klientit dhe nuk dërgon ngarkesa të shfrytëzimit.