Effaith
Mae LiteLLM yn cynnwys bregusrwydd pigiad SQL beirniadol yn ei broses ddilysu bysell Proxy API [S1]. Mae'r diffyg hwn yn caniatáu i ymosodwyr heb eu dilysu osgoi gwiriadau diogelwch ac o bosibl gael mynediad neu all-hidlo data o'r gronfa ddata sylfaenol [S1][S3].
Achos Gwraidd
Nodir y mater fel CWE-89 (Chwistrelliad SQL) [S1]. Mae wedi'i leoli yn rhesymeg dilysu bysell API o gydran LiteLLM Proxy [S2]. Mae'r bregusrwydd yn deillio o lanweithdra annigonol o fewnbwn a ddefnyddir mewn ymholiadau cronfa ddata [S1].
Fersiynau yr Effeithir arnynt
Mae fersiynau LiteLLM 1.81.16 trwy 1.83.6 yn cael eu heffeithio gan y bregusrwydd hwn [S1].
Atgyweiriadau Concrit
Diweddarwch LiteLLM i fersiwn 1.83.7 neu uwch i liniaru'r bregusrwydd hwn [S1].
Sut mae FixVibe yn ei brofi
Mae FixVibe bellach yn cynnwys hyn mewn sganiau repo GitHub. Mae'r siec yn darllen ffeiliau dibyniaeth ystorfa awdurdodedig yn unig, gan gynnwys requirements.txt, pyproject.toml, poetry.lock, a Pipfile.lock. Mae'n tynnu sylw at binnau LiteLLM neu gyfyngiadau fersiwn sy'n cyd-fynd â'r ystod yr effeithiwyd arno >=1.81.16 <1.83.7, yna'n adrodd ar y ffeil dibyniaeth, rhif llinell, IDau cynghorol, yr ystod yr effeithiwyd arno, a'r fersiwn sefydlog.
Mae hwn yn wiriad repo statig, darllen yn unig. Nid yw'n gweithredu cod cwsmer ac nid yw'n anfon llwythi tâl ecsbloetio.