ຜົນກະທົບ
LiteLLM ມີຊ່ອງໂຫວ່ການສີດ SQL ທີ່ສຳຄັນໃນຂະບວນການກວດສອບຫຼັກຂອງພຣັອກຊີ API ຂອງມັນ [S1]. ຂໍ້ບົກຜ່ອງນີ້ເຮັດໃຫ້ຜູ້ໂຈມຕີທີ່ບໍ່ໄດ້ຜ່ານການພິສູດຢືນຢັນສາມາດຂ້າມການກວດສອບຄວາມປອດໄພ ແລະອາດຈະເຂົ້າເຖິງ ຫຼືເອົາຂໍ້ມູນອອກຈາກຖານຂໍ້ມູນ [S1][S3].
ສາເຫດ
ບັນຫາແມ່ນຖືກກໍານົດເປັນ CWE-89 (SQL Injection) [S1]. ມັນຕັ້ງຢູ່ໃນເຫດຜົນການກວດສອບຫຼັກ API ຂອງອົງປະກອບ LiteLLM Proxy [S2]. ຊ່ອງໂຫວ່ແມ່ນມາຈາກການອະນາໄມທີ່ບໍ່ພຽງພໍຂອງການປ້ອນຂໍ້ມູນທີ່ໃຊ້ໃນການສອບຖາມຖານຂໍ້ມູນ [S1].
ສະບັບທີ່ໄດ້ຮັບຜົນກະທົບ
ລຸ້ນ LiteLLM 1.81.16 ຫາ 1.83.6 ໄດ້ຮັບຜົນກະທົບຈາກຊ່ອງໂຫວ່ [S1].
ແກ້ໄຂຄອນກີດ
ອັບເດດ LiteLLM ເປັນເວີຊັນ 1.83.7 ຫຼືສູງກວ່າເພື່ອຫຼຸດຜ່ອນຊ່ອງໂຫວ່ [S1].
ວິທີການ FixVibe ທົດສອບສໍາລັບມັນ
FixVibe ຕອນນີ້ລວມເອົາອັນນີ້ຢູ່ໃນ GitHub repo scans. ການກວດສອບຈະອ່ານໄຟລ໌ທີ່ຂຶ້ນກັບ repository ທີ່ໄດ້ຮັບອະນຸຍາດເທົ່ານັ້ນ, ລວມທັງ requirements.txt, pyproject.toml, poetry.lock, ແລະ Pipfile.lock. ມັນຕິດທຸງ LiteLLM pins ຫຼືຂໍ້ຈໍາກັດຂອງລຸ້ນທີ່ກົງກັບຊ່ວງທີ່ໄດ້ຮັບຜົນກະທົບ >=1.81.16 <1.83.7, ຈາກນັ້ນລາຍງານໄຟລ໌ທີ່ຂຶ້ນກັບ, ໝາຍເລກແຖວ, ID ທີ່ປຶກສາ, ຊ່ວງທີ່ໄດ້ຮັບຜົນກະທົບ ແລະເວີຊັນຄົງທີ່.
ນີ້ແມ່ນການກວດສອບແບບຄົງທີ່, ອ່ານເທົ່ານັ້ນ. ມັນບໍ່ໄດ້ປະຕິບັດລະຫັດລູກຄ້າແລະບໍ່ສົ່ງ payloads exploit.