Etki
LiteLLM, Proxy API anahtar doğrulama işlemi [S1]'de kritik bir SQL enjeksiyon güvenlik açığı içeriyor. Bu kusur, kimliği doğrulanmamış saldırganların güvenlik kontrollerini atlamasına ve potansiyel olarak temel veritabanı [S1][S3]'ye erişmesine veya bu veritabanındaki verilere erişmesine olanak tanır.
Temel Neden
Sorun CWE-89 (SQL Enjeksiyonu) [S1] olarak tanımlandı. LiteLLM Proxy bileşeni [S2]'nin API anahtar doğrulama mantığında bulunur. Güvenlik açığı, [S1] veritabanı sorgularında kullanılan girdilerin yeterince temizlenmemesinden kaynaklanıyor.
Etkilenen Sürümler
LiteLLM 1.81.16 ile 1.83.6 arasındaki sürümler [S1] adlı bu güvenlik açığından etkilenmektedir.
Beton Düzeltmeleri
Bu güvenlik açığını azaltmak için LiteLLM'yi 1.83.7 veya üzeri bir sürüme güncelleyin [S1].
FixVibe bunu nasıl test ediyor?
FixVibe artık bunu GitHub repo taramalarına içeriyor. Denetim yalnızca requirements.txt, pyproject.toml, poetry.lock ve Pipfile.lock dahil olmak üzere yetkili depo bağımlılık dosyalarını okur. Etkilenen >=1.81.16 <1.83.7 aralığıyla eşleşen LiteLLM pinlerini veya sürüm kısıtlamalarını işaretler ve ardından bağımlılık dosyasını, satır numarasını, danışma kimliklerini, etkilenen aralığı ve sabit sürümü bildirir.
Bu statik, salt okunur bir repo kontrolüdür. Müşteri kodunu çalıştırmaz ve yararlanma yüklerini göndermez.