Inverkan
LiteLLM innehåller en kritisk SQL-injektionssårbarhet i sin Proxy API nyckelverifieringsprocess [S1]. Denna brist gör det möjligt för oautentiserade angripare att kringgå säkerhetskontroller och potentiellt komma åt eller exfiltrera data från den underliggande databasen [S1][S3].
Rotorsak
Problemet identifieras som CWE-89 (SQL Injection) [S1]. Den finns i API-nyckelverifieringslogiken för LiteLLM Proxy-komponenten [S2]. Sårbarheten härrör från otillräcklig sanering av indata som används i databasfrågor [S1].
Berörda versioner
LiteLLM-versionerna 1.81.16 till 1.83.6 påverkas av denna sårbarhet [S1].
Betongfixar
Uppdatera LiteLLM till version 1.83.7 eller högre för att mildra denna sårbarhet [S1].
Hur FixVibe testar det
FixVibe inkluderar nu detta i GitHub repo-skanningar. Kontrollen läser endast behöriga förvarsberoendefiler, inklusive requirements.txt, pyproject.toml, poetry.lock och Pipfile.lock. Den flaggar LiteLLM-stift eller versionsbegränsningar som matchar det påverkade intervallet >=1.81.16 <1.83.7, och rapporterar sedan beroendefilen, radnummer, rådgivande ID:n, påverkat intervall och fast version.
Detta är en statisk, skrivskyddad repokontroll. Den exekverar inte kundkod och skickar inte nyttolaster.