اغیزې
LiteLLM په خپل پراکسي API کلیدي تایید پروسې [S1] کې د SQL انجیکشن مهم زیان منونکي لري. دا نیمګړتیا غیر مستند برید کونکو ته اجازه ورکوي چې د امنیت چکونو څخه تیر شي او په احتمالي توګه د زیرمو ډیټابیس [S1][S3] څخه ډیټا ته لاسرسی یا خارج کړي.
اصلي لامل
مسله د CWE-89 (SQL انجکشن) [S1] په توګه پیژندل شوې. دا د API د LiteLLM پراکسي برخې [S2] کلیدي تایید منطق کې موقعیت لري. زیانمنتیا د ډیټابیس پوښتنو [S1] کې کارول شوي ان پټ د ناکافي پاکوالي له امله رامینځته کیږي.
اغیزمن شوي نسخې
د LiteLLM نسخې 1.81.16 له 1.83.6 څخه تر [S1] د دې زیان منونکي لخوا اغیزمن شوي.
کانکریټ اصلاحات
LiteLLM نسخه 1.83.7 یا لوړ ته تازه کړئ ترڅو د دې زیان کمولو لپاره [S1].
څنګه FixVibe د دې لپاره ازموینه کوي
FixVibe اوس دا په GitHub ریپو سکینونو کې شامل دي. چک یوازې د مجاز ذخیره کولو انحصار فایلونه لوستل کوي، پشمول requirements.txt، pyproject.toml، poetry.lock، او Pipfile.lock. دا د LiteLLM پنونو یا نسخې محدودیتونه بیرغ کوي چې د اغیزمن شوي رینج >=1.81.16 <1.83.7 سره سمون لري، بیا د انحصار فایل، لاین شمیره، مشورتي IDs، اغیزمن شوي حد، او ثابت نسخه راپور ورکوي.
دا یو جامد، یوازې د لوستلو ریپو چیک دی. دا د پیرودونکي کوډ نه پلي کوي او د استحصال تادیه نه لیږي.