ထိခိုက်မှု
LiteLLM သည် ၎င်း၏ Proxy API သော့အတည်ပြုခြင်းလုပ်ငန်းစဉ် [S1] တွင် အရေးကြီးသော SQL ထိုးနှံမှု အားနည်းချက်တစ်ခု ပါရှိသည်။ ဤချို့ယွင်းချက်သည် အထောက်အထားမခိုင်လုံသော တိုက်ခိုက်သူများအား လုံခြုံရေးစစ်ဆေးမှုများကို ကျော်လွှားနိုင်ပြီး အရင်းခံဒေတာဘေ့စ် [S1][S3] မှ ဒေတာများကို ဝင်ရောက်ခြင်း သို့မဟုတ် ထုတ်ယူခြင်း ဖြစ်နိုင်ချေရှိသည်။
အကြောင်းအရင်း
ပြဿနာကို CWE-89 (SQL Injection) [S1] အဖြစ် သတ်မှတ်သည်။ ၎င်းသည် LiteLLM Proxy အစိတ်အပိုင်း [S2] ၏ သော့အတည်ပြုခြင်း ယုတ္တိဗေဒတွင် တည်ရှိပါသည်။ အားနည်းချက်သည် ဒေတာဘေ့စ်မေးမြန်းချက်များတွင် အသုံးပြုသည့် ထည့်သွင်းမှု၏ မလုံလောက်ခြင်းမှ ဖြစ်ပေါ်လာရခြင်း၏ အားနည်းချက်မှာ [S1] ဖြစ်သည်။
ထိခိုက်ထားသောဗားရှင်းများ
LiteLLM ဗားရှင်းများ 1.81.16 မှ 1.83.6 မှ ဤအားနည်းချက် [S1] ကြောင့် ထိခိုက်ပါသည်။
ကွန်ကရစ်ပြင်ဆင်မှုများ
ZXCVFIXVIBESEG၁၀ ဤအားနည်းချက် [S1] ကို လျော့ပါးစေရန် LiteLLM ဗားရှင်း 1.83.7 သို့မဟုတ် ထို့ထက်ပို၍ အပ်ဒိတ်လုပ်ပါ။
ZXCVFIXVIBESEG ၁၁
FixVibe စမ်းသပ်နည်း
FixVibe ယခု ၎င်းကို GitHub repo စကင်န်များတွင် ပါ၀င်ပါသည်။ ချက်လက်မှတ်သည် requirements.txt၊ pyproject.toml၊ poetry.lock၊ နှင့် Pipfile.lock အပါအဝင် တရားဝင်ခွင့်ပြုထားသော သိုလှောင်မှုမှီခိုဖိုင်များကိုသာ ဖတ်ပါသည်။ ၎င်းသည် ထိခိုက်သည့် အပိုင်းအခြား >=1.81.16 <1.83.7 နှင့် ကိုက်ညီသော LiteLLM ပင်နံပါတ်များ သို့မဟုတ် ဗားရှင်းကန့်သတ်ချက်များကို အလံပြထားပြီး မှီခိုမှုဖိုင်၊ လိုင်းနံပါတ်၊ အကြံပေး ID များ၊ ထိခိုက်သည့်အပိုင်းအခြားနှင့် ပုံသေဗားရှင်းတို့ကို အစီရင်ခံသည်။
ZXCVFIXVIBESEG၁၃ ၎င်းသည် တည်ငြိမ်သော၊ ဖတ်ရန်-သပ်သပ် repo စစ်ဆေးမှုတစ်ခုဖြစ်သည်။ ၎င်းသည် ဖောက်သည်ကုဒ်ကို လုပ်ဆောင်ခြင်းမရှိသည့်အပြင် exploit payloads များကို မပို့ပါ။