გავლენა
LiteLLM შეიცავს SQL ინექციის კრიტიკულ დაუცველობას მის Proxy API გასაღების გადამოწმების პროცესში [S1]. ეს ხარვეზი საშუალებას აძლევს არაავთენტიფიცირებულ თავდამსხმელებს გვერდის ავლით უსაფრთხოების შემოწმებები და პოტენციურად წვდომა ან ამოღება მონაცემთა ბაზის ბაზიდან [S1][S3].
ძირეული მიზეზი
პრობლემა იდენტიფიცირებულია, როგორც CWE-89 (SQL ინექცია) [S1]. ის მდებარეობს API გასაღების გადამოწმების ლოგიკაში LiteLLM Proxy კომპონენტის [S2]. დაუცველობა გამოწვეულია მონაცემთა ბაზის შეკითხვებში გამოყენებული მონაცემების არასაკმარისი გაწმენდით [S1].
დაზარალებული ვერსიები
LiteLLM ვერსიები 1.81.16 1.83.6 გავლენას ახდენს ამ დაუცველობით [S1].
ბეტონის შესწორებები
განაახლეთ LiteLLM ვერსია 1.83.7 ან უფრო მაღალ ვერსიაზე, რათა შეამსუბუქოთ ეს დაუცველობა [S1].
როგორ ამოწმებს მას FixVibe
FixVibe ახლა მას მოიცავს GitHub რეპოს სკანირებაში. შემოწმება იკითხება მხოლოდ ავტორიზებული საცავის დამოკიდებულების ფაილებს, მათ შორის requirements.txt, pyproject.toml, poetry.lock და Pipfile.lock. ის მონიშნავს LiteLLM პინებს ან ვერსიის შეზღუდვებს, რომლებიც ემთხვევა დაზარალებულ დიაპაზონს >=1.81.16 <1.83.7, შემდეგ აცნობებს დამოკიდებულების ფაილს, ხაზის ნომერს, საკონსულტაციო ID-ებს, დაზარალებულ დიაპაზონს და ფიქსირებულ ვერსიას.
ეს არის სტატიკური, მხოლოდ წაკითხვადი რეპო შემოწმება. ის არ ახორციელებს მომხმარებლის კოდს და არ აგზავნის ექსპლოიტის დატვირთვას.