Таасири
LiteLLM өзүнүн Proxy API ачкычын текшерүү процессинде [S1] сындуу SQL инъекциясынын кемчилигин камтыйт. Бул кемчилик аныктыгы текшерилбеген чабуулчуларга коопсуздук текшерүүлөрүн айланып өтүүгө жана [S1][S3] базалык маалымат базасынан маалыматтарга жетүү же эксфильтрациялоо мүмкүнчүлүгүн берет.
Негизги себеп
Маселе CWE-89 (SQL Injection) [S1] катары аныкталган. Ал LiteLLM Proxy компонентинин [S2] API ачкыч текшерүү логикасында жайгашкан. Аялуулугу [S1] маалымат базасынын сурамдарында колдонулган киргизүүнүн жетишсиз санитариясынан келип чыккан.
Таасирленген версиялар
LiteLLM версиялары 1.81.16дан 1.83.6ка чейин [S1] бул аялуулугунан жабыркайт.
Бетон оңдоолор
[S1] бул аялуулугун азайтуу үчүн LiteLLMди 1.83.7 же андан жогору версиясына жаңыртыңыз.
FixVibe аны кантип сынайт
FixVibe эми муну GitHub репо скандоолоруна камтыйт. Текшерүү requirements.txt, pyproject.toml, poetry.lock жана Pipfile.lock сыяктуу авторизацияланган репозиторийдик көз карандылык файлдарын гана окуйт. Ал >=1.81.16 <1.83.7 жабыркаган диапазонго дал келген LiteLLM пиндерин же версия чектөөлөрүн белгилейт, андан кийин көз карандылык файлын, саптын номерин, кеңеш берүүчү идентификаторлорду, таасир эткен диапазонду жана туруктуу версиясын билдирет.
Бул статикалык, окуу үчүн гана репо текшерүүсү. Ал кардар кодун аткарбайт жана эксплуатациянын пайдалуу жүктөрүн жөнөтпөйт.