Bandor
Guhertoyên LiteLLM 1.81.16 heya 1.83.7 di nav mekanîzmaya verastkirina mifteyê ya API [S1] de qelsiyek derziya SQL ya krîtîk dihewîne. Kêmkirina serketî dihêle ku êrîşkarek nerastkirî kontrolên ewlehiyê derbas bike an jî operasyonên databasê yên nedestûr [S1] pêk bîne. Vê qelsiyê 9,8-a CVSS-ê tête destnîşan kirin, ku bandora wê ya bilind li ser nepenîbûn û yekparebûna pergalê [S2] nîşan dide.
Sedema bingehîn
Zelalbûn heye ji ber ku proxy LiteLLM nekare mifteya API ya ku di sernavê Authorization de hatî peyda kirin berî ku di pirsek databasa [S1] de bikar bîne bi rêkûpêk paqij bike an parametre bike. Ev dihêle ku emrên SQL yên xerab ên ku di serî de hatine bicihkirin ji hêla databasa paşerojê [S3] ve bêne darve kirin.
Guhertoyên Bibandor
- LiteLLM: Guhertoyên 1.81.16 heya (lê ne tê de) 1.83.7 [S1].
Serastkirinên Beton
- LiteLLM-ê nûve bikin: Tavilê pakêta
litellmnûve bikin guhertoya 1.83.7 an derengtir da ku xeletiya derzîlêdanê [S1] derxînin. - Têketiyên Danegeha Kontrolkirinê: Têketinên gihîştina databasê ji bo şêwazên pirsê yên neasayî an hevoksaziya neçaverêkirî ku ji karûbarê proxy [S1] vedigerin binihêrin.
Mantiqa Tespîtkirin
Tîmên ewlehiyê dikarin bi vî rengî verastkirinê nas bikin:
- Skanandina Guhertoyê: Kontrolkirina jîngehê ji bo guhertoyên LiteLLM di nav rêza bandorkirî de (1.81.16 heta 1.83.6) [S1] diyar dibe.
- Çavdêriya Sernavê : Vekolîna daxwazên hatina ji proxy LiteLLM-ê re ji bo qalibên derzîlêdana SQL bi taybetî di nav qada token
Authorization: Bearer[S1] de.