ผลกระทบ
LiteLLM มีช่องโหว่การแทรก SQL ที่สำคัญในกระบวนการตรวจสอบคีย์ Proxy API ZXCVFIXVIBTOKEN0ZXCV ข้อบกพร่องนี้ทำให้ผู้โจมตีที่ไม่ได้รับการรับรองความถูกต้องสามารถเลี่ยงผ่านการตรวจสอบความปลอดภัย และอาจเข้าถึงหรือขโมยข้อมูลจากฐานข้อมูลพื้นฐาน [S1][S3]
ต้นเหตุ
ปัญหาถูกระบุว่าเป็น CWE-89 (SQL Injection) [S1] ตั้งอยู่ในตรรกะการตรวจสอบคีย์ API ของส่วนประกอบ LiteLLM Proxy ZXCVFIXVIBTOKEN1ZXCV ช่องโหว่นี้เกิดจากการฆ่าเชื้ออินพุตที่ใช้ในการสืบค้นฐานข้อมูล [S1] ไม่เพียงพอ
เวอร์ชันที่ได้รับผลกระทบ
LiteLLM เวอร์ชัน 1.81.16 ถึง 1.83.6 ได้รับผลกระทบจากช่องโหว่นี้ [S1]
การแก้ไขคอนกรีต
อัปเดต LiteLLM เป็นเวอร์ชัน 1.83.7 หรือสูงกว่า เพื่อบรรเทาช่องโหว่นี้ [S1]
วิธีทดสอบ FixVibe
ตอนนี้ FixVibe รวมสิ่งนี้ไว้ในการสแกน repo ของ GitHub การตรวจสอบจะอ่านไฟล์การพึ่งพาที่เก็บที่ได้รับอนุญาตเท่านั้น รวมถึง requirements.txt, pyproject.toml, ZXCVFIXVIBTOKEN2ZXCV และ Pipfile.lock โดยจะตั้งค่าสถานะหมุด LiteLLM หรือข้อจำกัดเวอร์ชันที่ตรงกับช่วง >=1.81.16 <1.83.7 ที่ได้รับผลกระทบ จากนั้นรายงานไฟล์การขึ้นต่อกัน หมายเลขบรรทัด รหัสคำแนะนำ ช่วงที่ได้รับผลกระทบ และเวอร์ชันที่แก้ไขแล้ว
นี่คือการตรวจสอบ repo แบบคงที่และอ่านอย่างเดียว มันไม่ได้รันโค้ดของลูกค้าและไม่ส่งเพย์โหลดการหาประโยชน์