ផលប៉ះពាល់
ZXCVFIXVIBESEG ៤ LiteLLM កំណែ 1.81.16 ដល់ 1.83.7 មានភាពងាយរងគ្រោះ SQL injection ដ៏សំខាន់នៅក្នុងយន្តការផ្ទៀងផ្ទាត់គន្លឹះ API របស់ប្រូកស៊ី [S1] ។ ការកេងប្រវ័ញ្ចដោយជោគជ័យអនុញ្ញាតឱ្យអ្នកវាយប្រហារដែលមិនមានការផ្ទៀងផ្ទាត់ដើម្បីឆ្លងកាត់ការត្រួតពិនិត្យសុវត្ថិភាព ឬអនុវត្តប្រតិបត្តិការមូលដ្ឋានទិន្នន័យដែលគ្មានការអនុញ្ញាត [S1] ។ ភាពងាយរងគ្រោះនេះត្រូវបានផ្តល់ពិន្ទុ CVSS នៃ 9.8 ដែលឆ្លុះបញ្ចាំងពីផលប៉ះពាល់ខ្ពស់របស់វាទៅលើការសម្ងាត់នៃប្រព័ន្ធ និងភាពសុចរិត [S2] ។
ZXCVFIXVIBESEG ៥
មូលហេតុ
ZXCVFIXVIBESEG ៦ ភាពងាយរងគ្រោះមានដោយសារតែប្រូកស៊ី LiteLLM បរាជ័យក្នុងការធ្វើអនាម័យឱ្យបានត្រឹមត្រូវ ឬកំណត់ប៉ារ៉ាម៉ែត្រ API ដែលបានផ្ដល់នៅក្នុងបឋមកថា Authorization មុនពេលប្រើវានៅក្នុងសំណួរមូលដ្ឋានទិន្នន័យ [S1] ។ នេះអនុញ្ញាតឱ្យពាក្យបញ្ជា SQL ព្យាបាទដែលបានបង្កប់នៅក្នុងបឋមកថាត្រូវបានប្រតិបត្តិដោយមូលដ្ឋានទិន្នន័យខាងក្រោយ [S3] ។
ZXCVFIXVIBESEG ៧
កំណែដែលរងផលប៉ះពាល់
ZXCVFIXVIBESEG ៨
- LiteLLM៖ កំណែ 1.81.16 រហូតដល់ (ប៉ុន្តែមិនរាប់បញ្ចូល) 1.83.7 [S1] ។
ជួសជុលបេតុង
ZXCVFIXVIBESEG ១០
- Update LiteLLM៖ ដំឡើងកញ្ចប់
litellmភ្លាមៗទៅកំណែ 1.83.7 ឬក្រោយនេះ ដើម្បីជួសជុលកំហុសចាក់ [S1]។
ZXCVFIXVIBESEG ១១
- កំណត់ហេតុមូលដ្ឋានទិន្នន័យសវនកម្ម៖ ពិនិត្យមើលកំណត់ហេតុចូលប្រើមូលដ្ឋានទិន្នន័យសម្រាប់លំនាំសំណួរមិនធម្មតា ឬវាក្យសម្ព័ន្ធដែលមិនរំពឹងទុកដែលមានប្រភពមកពីសេវាប្រូកស៊ី [S1] ។
ZXCVFIXVIBESEG ១២
តក្កវិជ្ជាការរកឃើញ
ZXCVFIXVIBESEG ១៣ ក្រុមសន្តិសុខអាចកំណត់អត្តសញ្ញាណការប៉ះពាល់ដោយ៖
- ការស្កេនកំណែ៖ ការត្រួតពិនិត្យបរិស្ថានបង្ហាញឱ្យឃើញសម្រាប់កំណែ LiteLLM ក្នុងជួរដែលរងផលប៉ះពាល់ (1.81.16 ដល់ 1.83.6) [S1] ។
ZXCVFIXVIBESEG ១៥
- ការត្រួតពិនិត្យបឋមកថា៖ ពិនិត្យសំណើចូលមកកាន់ប្រូកស៊ី LiteLLM សម្រាប់លំនាំចាក់ SQL ជាពិសេសនៅក្នុងវាលនិមិត្តសញ្ញា
Authorization: Bearer[S1] ។