Təsir
LiteLLM öz Proksi API əsas yoxlama prosesində [S1]-də kritik SQL inyeksiya zəifliyini ehtiva edir. Bu qüsur təsdiqlənməmiş təcavüzkarlara təhlükəsizlik yoxlamalarından yan keçməyə və [S1][S3] əsas verilənlər bazasından potensial olaraq məlumat əldə etməyə və ya sızmağa imkan verir.
Kök Səbəb
Problem CWE-89 (SQL Injection) [S1] kimi müəyyən edilib. O, LiteLLM Proxy komponenti [S2]-nin API açar yoxlama məntiqində yerləşir. Zəiflik [S1] verilənlər bazası sorğularında istifadə edilən girişin kifayət qədər sanitarlaşdırılmamasından qaynaqlanır.
Təsirə məruz qalmış versiyalar
1.81.16-dan 1.83.6-dək olan LiteLLM versiyaları [S1] bu zəiflikdən təsirlənir.
Beton Təmirləri
Bu zəifliyi [S1] azaltmaq üçün LiteLLM-i 1.83.7 və ya daha yüksək versiyaya yeniləyin.
FixVibe bunu necə sınaqdan keçirir
FixVibe indi bunu GitHub repo skanlarına daxildir. Yoxlama yalnız requirements.txt, pyproject.toml, poetry.lock və Pipfile.lock daxil olmaqla səlahiyyətli repozitor asılılıq fayllarını oxuyur. O, təsirə məruz qalan >=1.81.16 <1.83.7 diapazonuna uyğun gələn LiteLLM sancaqlarını və ya versiya məhdudiyyətlərini qeyd edir, sonra asılılıq faylı, sətir nömrəsi, məsləhət identifikatorları, təsirlənmiş diapazon və sabit versiyanı bildirir.
Bu statik, yalnız oxunan repo yoxlamasıdır. O, müştəri kodunu icra etmir və istismar yüklərini göndərmir.