Әсер
LiteLLM прокси API [S1] кілтін тексеру процесінде маңызды SQL инъекция осалдығын қамтиды. Бұл кемшілік аутентификацияланбаған шабуылдаушыларға қауіпсіздік тексерулерін айналып өтуге және негізгі [S1][S3] дерекқорынан деректерге кіруге немесе эксфильтрациялауға мүмкіндік береді.
Негізгі себеп
Мәселе CWE-89 (SQL инъекциясы) [S1] ретінде анықталған. Ол LiteLLM Proxy компонентінің [S2] API кілтін тексеру логикасында орналасқан. Осалдық [S1] дерекқор сұрауларында пайдаланылатын енгізудің жеткіліксіз санитариялануынан туындайды.
Әсер еткен нұсқалар
LiteLLM 1.81.16 мен 1.83.6 аралығындағы нұсқаларына [S1] осы осалдық әсер етеді.
Бетонды түзетулер
[S1] осалдығын азайту үшін LiteLLM нұсқасын 1.83.7 немесе одан жоғары нұсқасына жаңартыңыз.
FixVibe оны қалай тексереді
FixVibe енді мұны GitHub репо сканерлеріне қосады. Тексеру тек requirements.txt, pyproject.toml, poetry.lock және Pipfile.lock қоса, рұқсат етілген репозитарий тәуелділік файлдарын оқиды. Ол >=1.81.16 <1.83.7 зардап шеккен ауқымына сәйкес келетін LiteLLM түйреуіштерін немесе нұсқа шектеулерін белгілейді, содан кейін тәуелділік файлын, жол нөмірін, кеңес идентификаторларын, зардап шеккен ауқымды және бекітілген нұсқаны хабарлайды.
Бұл статикалық, тек оқуға арналған репо тексеруі. Ол тұтынушы кодын орындамайды және пайдалану пайдалы жүктемелерін жібермейді.