# ተጽዕኖ LiteLLM በፕሮክሲው API ቁልፍ የማረጋገጫ ሂደት [S1] ውስጥ ወሳኝ የSQL መርፌ ተጋላጭነትን ይዟል። ይህ ጉድለት ያልተረጋገጡ አጥቂዎች የደህንነት ፍተሻዎችን እንዲያልፉ እና ከስር ያለው የውሂብ ጎታ [S1][S3] መረጃን እንዲደርሱ ወይም እንዲያወጡ ያስችላቸዋል።
የስር መንስኤ
ጉዳዩ CWE-89 (SQL Injection) [S1] በመባል ይታወቃል። በAPI ቁልፍ የማረጋገጫ አመክንዮ የ LiteLLM ፕሮክሲ አካል [S2] ውስጥ ይገኛል። ተጋላጭነቱ የሚመነጨው በዳታቤዝ መጠይቆች [S1] ውስጥ ጥቅም ላይ የሚውለውን ግብአት በበቂ ሁኔታ ሳኒታይዜሽን ነው።
የተጎዱ ስሪቶች
LiteLLM ስሪቶች 1.81.16 እስከ 1.83.6 በዚህ ተጋላጭነት [S1] ተጎድተዋል።
ኮንክሪት ጥገናዎች
ይህንን ተጋላጭነት [S1]ን ለመቀነስ LiteLLMን ወደ ስሪት 1.83.7 ወይም ከዚያ በላይ ያዘምኑ።
FixVibe እንዴት እንደሚፈትሽ
FixVibe አሁን ይህንን በGitHub ሬፖ ስካን ያካትታል። ቼኩ requirements.txt፣ pyproject.toml፣ poetry.lock እና Pipfile.lockን ጨምሮ የተፈቀደላቸው የመረጃ ማከማቻ ጥገኝነት ፋይሎችን ብቻ ያነባል። ከተጎዳው ክልል >=1.81.16 <1.83.7 ጋር የሚዛመዱ የ LiteLLM ፒን ወይም የስሪት ገደቦችን ይጠቁማል፣ ከዚያም የጥገኝነት ፋይሉን፣ የመስመር ቁጥሩን፣ የምክር መታወቂያዎችን፣ የተጎዳውን ክልል እና ቋሚ ስሪት ሪፖርት ያደርጋል።
ይህ የማይንቀሳቀስ፣ ተነባቢ-ብቻ የድጋሚ ፍተሻ ነው። የደንበኛ ኮድ አይሰራም እና የብዝበዛ ጭነት አይልክም።