Tác động
LiteLLM chứa lỗ hổng SQL nghiêm trọng trong quy trình xác minh khóa Proxy API [S1]. Lỗ hổng này cho phép kẻ tấn công không được xác thực bỏ qua kiểm tra bảo mật và có khả năng truy cập hoặc lấy cắp dữ liệu từ cơ sở dữ liệu cơ bản [S1][S3].
Nguyên nhân gốc rễ
Sự cố được xác định là CWE-89 (Tiêm SQL) [S1]. Nó nằm trong logic xác minh khóa API của thành phần LiteLLM Proxy [S2]. Lỗ hổng này bắt nguồn từ việc xử lý dữ liệu đầu vào được sử dụng trong các truy vấn cơ sở dữ liệu [S1] không đầy đủ.
Phiên bản bị ảnh hưởng
Các phiên bản LiteLLM 1.81.16 đến 1.83.6 bị ảnh hưởng bởi lỗ hổng [S1] này.
Sửa chữa bê tông
Cập nhật LiteLLM lên phiên bản 1.83.7 trở lên để giảm thiểu lỗ hổng [S1] này.
FixVibe kiểm tra nó như thế nào
FixVibe hiện bao gồm điều này trong các lần quét repo GitHub. Kiểm tra này chỉ đọc các tệp phụ thuộc kho lưu trữ được ủy quyền, bao gồm requirements.txt, pyproject.toml, poetry.lock và Pipfile.lock. Nó gắn cờ các chân LiteLLM hoặc các ràng buộc phiên bản phù hợp với phạm vi bị ảnh hưởng >=1.81.16 <1.83.7, sau đó báo cáo tệp phụ thuộc, số dòng, ID tư vấn, phạm vi bị ảnh hưởng và phiên bản cố định.
Đây là kiểm tra repo tĩnh, chỉ đọc. Nó không thực thi mã khách hàng và không gửi tải trọng khai thác.