Ազդեցություն
LiteLLM-ը պարունակում է SQL ներարկման կարևոր խոցելիություն իր API բանալիների ստուգման գործընթացում՝ [S1]: Այս թերությունը թույլ է տալիս չհաստատված հարձակվողներին շրջանցել անվտանգության ստուգումները և պոտենցիալ մուտք գործել կամ արտահանել տվյալների հիմքում ընկած [S1][S3] տվյալների բազայից:
Արմատային պատճառ
Խնդիրը նույնացվում է որպես CWE-89 (SQL Injection) [S1]: Այն գտնվում է LiteLLM Proxy բաղադրիչի API բանալիների ստուգման տրամաբանության մեջ՝ [S2]: Խոցելիությունը բխում է [S1] տվյալների բազայի հարցումներում օգտագործվող մուտքերի անբավարար մաքրումից:
Ազդեցված տարբերակներ
LiteLLM տարբերակները 1.81.16-ից 1.83.6 տուժում են այս խոցելիությունից [S1]:
Բետոնե ամրացումներ
Թարմացրեք LiteLLM-ը 1.83.7 կամ ավելի նոր տարբերակի՝ [S1] այս խոցելիությունը մեղմելու համար:
Ինչպես է FixVibe-ն փորձարկում դրա համար
FixVibe-ն այժմ ներառում է սա GitHub ռեպո սկանավորման մեջ: Չեկը կարդում է միայն լիազորված պահեստի կախվածության ֆայլերը, ներառյալ requirements.txt, pyproject.toml, poetry.lock և Pipfile.lock: Այն նշում է LiteLLM կապանքները կամ տարբերակների սահմանափակումները, որոնք համապատասխանում են >=1.81.16 <1.83.7 ազդակիր տիրույթին, այնուհետև հայտնում է կախվածության ֆայլը, տողի համարը, խորհրդատվական ID-ները, ազդակիր տիրույթը և ֆիքսված տարբերակը:
Սա ստատիկ, միայն կարդալու ռեպո ստուգում է: Այն չի կատարում հաճախորդի կոդը և չի ուղարկում շահագործման օգտակար բեռներ: