Eragina
LiteLLM-k SQL injekzio ahultasun kritiko bat dauka bere proxy API gakoak egiaztatzeko prozesuan [S1]. Akats horri esker, autentifikatu gabeko erasotzaileei segurtasun-egiaztapenak saihestu eta azpiko datu-baseko datuak atzitu edo kanporatu ditzakete [S1][S3].
Arrazoia
Arazoa CWE-89 (SQL injekzio) [S1] gisa identifikatzen da. API LiteLLM Proxy osagaiaren API gakoen egiaztapen-logikan dago. Zaurgarritasuna datu-baseen kontsultetan erabilitako sarrera nahikoa saneatzetik dator [S1].
Eragindako bertsioak
LiteLLM 1.81.16 eta 1.83.6 bitarteko bertsioak [S1] ahultasun honek eragiten du.
Konponketa konkretuak
Eguneratu LiteLLM 1.83.7 bertsiora edo berriagoa [S1] ahultasun hori arintzeko.
FixVibe probak nola egiten dituen
FixVibe-k hau sartzen du orain GitHub repo eskaneetan. Egiaztapenak baimendutako biltegiaren mendekotasun fitxategiak irakurtzen ditu soilik, requirements.txt, pyproject.toml, poetry.lock eta Pipfile.lock barne. >=1.81.16 <1.83.7 kaltetutako barrutiarekin bat datozen LiteLLM pin edo bertsio-murrizketak adierazten ditu, eta, ondoren, mendekotasun-fitxategia, lerro-zenbakia, aholku-identifikazioak, kaltetutako barrutia eta bertsio finkoaren berri ematen du.
Hau irakurtzeko soilik den repo egiaztapen estatikoa da. Ez du bezero-koderik exekutatzen eta ez du ustiapen kargarik bidaltzen.