Fiantraikany
Ny dikan-teny LiteLLM 1.81.16 hatramin'ny 1.83.7 dia misy vulnerability SQL tsindrona manakiana ao anatin'ny rafitra fanamarinana fanalahidy API [S1] an'ny proxy. Ny fanararaotana mahomby dia ahafahan'ny mpanafika tsy voamarina handalo ny fanaraha-maso fiarovana na manao hetsika tsy nahazoana alalana [S1]. Ity vulnerable ity dia nomena isa CVSS 9.8, maneho ny fiantraikany lehibe amin'ny tsiambaratelon'ny rafitra sy ny fahamendrehana [S2].
Antony fototra
Misy ny vulnerability satria ny LiteLLM proxy dia tsy mahavita manadio na manitsy ny lakile API omena ao amin'ny lohapejy Authorization alohan'ny hampiasana azy amin'ny fangatahana angon-drakitra [S1]. Izany dia mamela ny baiko SQL mampidi-doza tafiditra ao amin'ny lohapejy ho tanterahin'ny angon-drakitra backend [S3].
Versions voakasika
- LiteLLM: Dikan-teny 1.81.16 ka hatramin'ny (fa tsy tafiditra) 1.83.7 [S1].
Fanamboarana simenitra
- Fanavaozana LiteLLM: Havaozy avy hatrany ny fonosana
litellmho version 1.83.7 na aoriana mba hamehezana ny lesoka [S1]. - Login'ny angon-drakitra fanaraha-maso: Avereno jerena ny diarin'ny fidirana amin'ny angon-drakitra ho an'ny lamina fanontaniana tsy mahazatra na syntax tsy ampoizina avy amin'ny serivisy proxy [S1].
Lojika fitadiavana
Ny ekipan'ny fiarovana dia afaka mamantatra ny fisehoan-javatra amin'ny:
- Version Scanning: Fanamarinana ny tontolo iainana dia miseho amin'ny dikan-teny LiteLLM ao anatin'ny faritra voakasika (1.81.16 hatramin'ny 1.83.6) [S1].
- Fanaraha-maso ny Lohateny: Fanaraha-maso ny fangatahana miditra amin'ny proxy LiteLLM ho an'ny lamina tsindrona SQL indrindra ao anatin'ny saha famantarana
Authorization: Bearer[S1].