Вплив
LiteLLM містить критичну вразливість SQL-ін’єкції в процесі перевірки ключа [S1] проксі API. Цей недолік дозволяє неавтентифікованим зловмисникам обійти перевірки безпеки та потенційно отримати доступ або викрасти дані з основної бази даних [S1][S3].
Основна причина
Проблема ідентифікована як CWE-89 (SQL Injection) [S1]. Він розташований у логіці перевірки ключа API компонента LiteLLM Proxy [S2]. Уразливість виникає через недостатню обробку вхідних даних, які використовуються в запитах бази даних [S1].
Уражені версії
LiteLLM версії 1.81.16 до 1.83.6 піддаються цій уразливості [S1].
Конкретні виправлення
Оновіть LiteLLM до версії 1.83.7 або новішої, щоб зменшити цю вразливість [S1].
Як FixVibe перевіряє це
FixVibe тепер включає це в сканування сховищ GitHub. Перевірка читає лише авторизовані файли залежностей сховища, включаючи requirements.txt, pyproject.toml, poetry.lock і Pipfile.lock. Він позначає позначки LiteLLM або обмеження версії, які відповідають ураженому діапазону >=1.81.16 <1.83.7, а потім повідомляє файл залежностей, номер рядка, рекомендаційні ідентифікатори, уражений діапазон і виправлену версію.
Це статична перевірка репозиторію лише для читання. Він не виконує код користувача та не надсилає корисні навантаження експлойтів.