FixVibe
Covered by FixVibecritical

LiteLLM proksi SQL sanjym (CVE-2026-42208)

LiteLLM-iň proksi komponentindäki möhüm SQL sanjym gowşaklygy (CVE-2026-42208) hüjümçilere API açar barlamak prosesini ulanyp, hakykylygyny tassyklamaga ýa-da duýgur maglumatlar bazasyna girmäge mümkinçilik berýär.

CVE-2026-42208GHSA-r75f-5x8p-qvmcCWE-89

Täsir

LiteLLM 1.81.16-dan 1.83.7 wersiýalaryna proksi API açar barlamak mehanizminiň içinde SQL sanjym gowşaklygy bar, [S1]. Üstünlikli peýdalanmak, tassyklanmadyk hüjümçä howpsuzlyk gözegçiliklerinden aýlanyp geçmäge ýa-da rugsatsyz maglumat bazasy amallaryny [S1] ýerine ýetirmäge mümkinçilik berýär. Bu gowşaklyga, ulgamyň gizlinligine we bitewiligine [S2]-e ýokary täsirini görkezýän CVSS bal 9.8 berilýär.

Kök sebäp

Gowşaklyk bar, sebäbi LiteLLM proksi Authorization sözbaşysynda berlen API açaryny dogry arassalap ýa-da parametrleşdirip bilmeýär, sebäbi [S1]. Bu, sözbaşyda ýerleşdirilen zyýanly SQL buýruklaryny [S3] arka maglumat bazasy tarapyndan ýerine ýetirmäge mümkinçilik berýär.

Täsirli wersiýalar

  • LiteLLM : 1.83.7-e çenli (ýöne goşulmaýar) 1.83.7 [S1] wersiýalary.

Beton düzedişler

  • LiteLLM-i täzeläň : litellm paketini derrew 1.83.7 wersiýasyna ýa-da sanjym kemçiligini [S1] bilen täzeläň.
  • Audit Maglumat bazasynyň surnallary : [S1] proksi hyzmatyndan gelip çykýan adaty bolmadyk talap nagyşlary ýa-da garaşylmadyk sintaksis üçin maglumat bazasyna giriş surnallaryny gözden geçiriň.

Kesgitleýiş logikasy

Howpsuzlyk toparlary täsirini aşakdakylar arkaly kesgitläp bilerler:

  • Wersiýa skaneri : Barlanylýan gurşaw LiteLLM wersiýalarynda täsir edýän diapazonda (1.81.16-dan 1.83.6) [S1].
  • erazgylara gözegçilik : Authorization: Bearer token meýdançasynda Authorization: Bearer token meýdançasynda SQL sanjym nagyşlary üçin LiteLLM proksi-e gelýän haýyşlary barlamak.