ផលប៉ះពាល់
ZXCVFIXVIBESEG ៤ LiteLLM ផ្ទុកនូវភាពងាយរងគ្រោះនៃការចាក់ SQL ដ៏សំខាន់នៅក្នុងដំណើរការផ្ទៀងផ្ទាត់សោប្រូកស៊ី API របស់វា [S1] ។ កំហុសនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារដែលមិនបានផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវអាចរំលងការត្រួតពិនិត្យសុវត្ថិភាព និងអាចចូលប្រើ ឬទាញយកទិន្នន័យចេញពីមូលដ្ឋានទិន្នន័យ [S1][S3] ។
ZXCVFIXVIBESEG ៥
មូលហេតុ
ZXCVFIXVIBESEG ៦ បញ្ហានេះត្រូវបានកំណត់ថាជា CWE-89 (SQL Injection) [S1] ។ វាមានទីតាំងនៅក្នុងតក្កវិជ្ជាផ្ទៀងផ្ទាត់គន្លឹះ API នៃសមាសធាតុប្រូកស៊ី LiteLLM [S2] ។ ភាពងាយរងគ្រោះកើតចេញពីអនាម័យមិនគ្រប់គ្រាន់នៃការបញ្ចូលដែលប្រើក្នុងសំណួរមូលដ្ឋានទិន្នន័យ [S1] ។
ZXCVFIXVIBESEG ៧
កំណែដែលរងផលប៉ះពាល់
ZXCVFIXVIBESEG ៨ កំណែ LiteLLM 1.81.16 ដល់ 1.83.6 ត្រូវបានប៉ះពាល់ដោយភាពងាយរងគ្រោះនេះ [S1] ។
ជួសជុលបេតុង
ZXCVFIXVIBESEG ១០ ធ្វើបច្ចុប្បន្នភាព LiteLLM ទៅកំណែ 1.83.7 ឬខ្ពស់ជាងនេះ ដើម្បីកាត់បន្ថយភាពងាយរងគ្រោះនេះ [S1] ។
ZXCVFIXVIBESEG ១១
របៀបដែល FixVibe ធ្វើតេស្តសម្រាប់វា។
ZXCVFIXVIBESEG ១២ FixVibe ឥឡូវនេះរួមបញ្ចូលវានៅក្នុងការស្កេន GitHub repo ។ មូលប្បទានប័ត្រនេះអានឯកសារពឹងផ្អែកឃ្លាំងដែលមានការអនុញ្ញាតតែប៉ុណ្ណោះ រួមទាំង requirements.txt, pyproject.toml, poetry.lock និង Pipfile.lock ។ វាដាក់ទង់ LiteLLM pins ឬកម្រិតកំណែដែលត្រូវគ្នានឹងជួរដែលរងផលប៉ះពាល់ >=1.81.16 <1.83.7 បន្ទាប់មករាយការណ៍ឯកសារអាស្រ័យ លេខបន្ទាត់ លេខសម្គាល់ទីប្រឹក្សា ជួរដែលរងផលប៉ះពាល់ និងកំណែថេរ។
ZXCVFIXVIBESEG ១៣ នេះគឺជាការពិនិត្យមើលឡើងវិញដែលបានតែអានតែប៉ុណ្ណោះ។ វាមិនប្រតិបត្តិកូដអតិថិជន ហើយមិនផ្ញើបន្ទុកកេងប្រវ័ញ្ច