Buaidh
Ann an dreachan LiteLLM 1.81.16 tro 1.83.7 tha so-leòntachd stealladh SQL deatamach taobh a-staigh inneal dearbhaidh iuchrach API an neach-ionaid [S1]. Tha brath soirbheachail a’ leigeil le neach-ionnsaigh neo-dhearbhte a dhol seachad air smachdan tèarainteachd no gnìomhachd stòr-dàta gun chead a dhèanamh [S1]. Tha sgòr CVSS de 9.8 air a thoirt don so-leòntachd seo, a’ nochdadh a bhuaidh àrd air dìomhaireachd siostaim agus ionracas [S2].
Bun-adhbhar
Tha an so-leòntachd ann leis nach eil an neach-ionaid LiteLLM a’ dèanamh dì-ghalarachadh no parameter ceart air an iuchair API a chaidh a thoirt seachad anns a’ bhann-cinn Authorization mus cleachd thu e ann an ceist stòr-dàta [S1]. Leigidh seo le òrdughan droch-rùnach SQL a tha freumhaichte sa bhann-cinn a chuir gu bàs leis an stòr-dàta backend [S3].
Tionndaidhean air a bheil buaidh
- LiteLLM : Tionndaidhean 1.81.16 suas gu (ach gun a bhith a’ toirt a-steach) 1.83.7 [S1].
Ceartachaidhean concrait
- Ùraich LiteLLM : Ùraich sa bhad am pasgan
litellmgu dreach 1.83.7 no nas fhaide air adhart gus an locht stealladh [S1] a ghlacadh. - Logaichean Stòr-dàta Sgrùdaidh : Dèan lèirmheas air logaichean ruigsinneachd stòr-dàta airson pàtrain ceist neo-àbhaisteach no co-chòrdadh ris nach robh dùil a thàinig bhon t-seirbheis neach-ionaid [S1].
loidsig lorgaidh
Faodaidh sgiobaidhean tèarainteachd foillseachadh a chomharrachadh le bhith:
- Scanadh dreach : Bidh sgrùdadh àrainneachd a’ nochdadh airson dreachan LiteLLM taobh a-staigh an raon air a bheil buaidh (1.81.16 gu 1.83.6) [S1].
- Sgrùdadh cinn : A’ sgrùdadh iarrtasan a-steach don neach-ionaid LiteLLM airson pàtrain in-stealladh SQL gu sònraichte taobh a-staigh raon comharra
Authorization: Bearer[S1].