Нөлөөлөл
LiteLLM нь [S1] Proxy API түлхүүр баталгаажуулалтын процесст чухал SQL тарилгын эмзэг байдлыг агуулж байна. Энэхүү дутагдал нь танигдаагүй халдагчдад аюулгүй байдлын шалгалтыг давж гарах, [S1][S3] үндсэн мэдээллийн баазаас өгөгдөлд нэвтрэх, задлах боломжийг олгодог.
Үндсэн шалтгаан
Асуудлыг CWE-89 (SQL Injection) [S1] гэж тодорхойлсон. Энэ нь LiteLLM Proxy бүрэлдэхүүн хэсгийн [S2]-ийн API түлхүүр баталгаажуулалтын логикт байрладаг. Энэ эмзэг байдал нь [S1] мэдээллийн сангийн асуулгад ашигласан оролтын ариутгал хангалтгүйгээс үүдэлтэй.
Нөлөөлөлд өртсөн хувилбарууд
LiteLLM-ийн 1.81.16-аас 1.83.6 хүртэлх хувилбарууд [S1] энэ эмзэг байдалд өртөж байна.
Бетон засвар
[S1] эмзэг байдлыг багасгахын тулд LiteLLM-г 1.83.7 эсвэл түүнээс дээш хувилбар болгон шинэчилнэ үү.
FixVibe үүнийг хэрхэн туршиж үздэг
FixVibe одоо үүнийг GitHub репо сканнерд багтаасан болно. Шалгалт нь зөвхөн requirements.txt, pyproject.toml, poetry.lock, Pipfile.lock зэрэг эрх бүхий репозиторын хамаарлын файлуудыг уншина. Энэ нь нөлөөлөлд өртсөн >=1.81.16 <1.83.7 мужид тохирох LiteLLM зүү эсвэл хувилбарын хязгаарлалтыг тэмдэглэж, дараа нь хамаарлын файл, мөрийн дугаар, зөвлөх ID, нөлөөлөлд өртсөн муж болон тогтмол хувилбарыг мэдээлнэ.
Энэ бол статик, зөвхөн уншигдах репо шалгалт юм. Энэ нь хэрэглэгчийн кодыг гүйцэтгэдэггүй бөгөөд ашиглалтын ачааллыг илгээдэггүй.