python · semantic-routerCrítico

semantic-router 0.1.8–0.1.14: dependência litellm sem limite superior permite instalação de versão maliciosa

As versões 0.1.8 a 0.1.14 do semantic-router declaram `litellm>=1.61.3` sem limite superior, permitindo que a roda maliciosa `litellm==1.82.8` seja instalada, e

27 Jun 2026Leitura 1 minSeveridade: mexe agora

O que mudou

As versões 0.1.8 a 0.1.14 do semantic-router declaram `litellm>=1.61.3` sem limite superior, permitindo que a roda maliciosa `litellm==1.82.8` seja instalada, exfiltrando credenciais e segredos.

Quem isso afeta

Usuários que instalaram semantic-router 0.1.8–0.1.14 durante a janela em que litellm==1.82.8 estava no PyPI.

O que fazer hoje

Atualize para semantic-router 0.1.15 ou fixe litellm>=1.83.7, audite site-packages em busca de litellm_init.pth e rotacione credenciais expostas.

A esteira

Coletado→ Auditado→ Redigido→ Publicado

Fonte

GitHub Advisory · semantic-router

semantic-router 0.1.8–0.1.14: dependência litellm sem limite superior permite instalação de versão maliciosa

O que mudou

Quem isso afeta

O que fazer hoje

Mais sobre semantic-router

nono-py: bypass de proxy_only() em kernels Linux <6.7 sem Landlock

nono-py: Configuração vazia de allowed_hosts permitia todos os hosts por padrão