اثر
LiteLLM ان جي Proxy API اهم تصديق واري عمل [S1] ۾ هڪ نازڪ SQL انجيڪشن ڪمزوري تي مشتمل آهي. هي نقص غير تصديق ٿيل حملي ڪندڙن کي سيڪيورٽي چيڪن کي نظرانداز ڪرڻ جي اجازت ڏئي ٿو ۽ بنيادي طور تي بنيادي ڊيٽابيس [S1][S3] کان ڊيٽا تائين رسائي يا خارج ڪري ٿو.
بنيادي سبب
مسئلي جي سڃاڻپ CWE-89 (SQL انجکشن) [S1] طور ڪئي وئي آهي. اهو LiteLLM Proxy جزو [S2] جي API اهم تصديق جي منطق ۾ واقع آهي. خطرن جو سبب ڊيٽابيس سوالن ۾ استعمال ٿيل ان پٽ جي ناکافي صفائي جي ڪري آهي [S1].
متاثر ٿيل نسخو
LiteLLM ورجن 1.81.16 کان وٺي 1.83.6 تائين متاثر ٿيا آهن هن خطري کان [S1].
ڪنڪريٽ فيڪس
LiteLLM کي اپڊيٽ ڪريو ورجن 1.83.7 يا ان کان وڌيڪ کي گھٽائڻ لاءِ [S1].
ڪيئن FixVibe ان لاءِ ٽيسٽ ڪري ٿو
FixVibe ھاڻي ھي شامل آھي GitHub ريپو اسڪين ۾. چيڪ صرف بااختيار مخزن جي انحصار فائلن کي پڙهي ٿو، بشمول requirements.txt، pyproject.toml، poetry.lock، ۽ Pipfile.lock. اهو پرچم ڪري ٿو LiteLLM پنن يا نسخن جي پابنديون جيڪي متاثر ٿيل رينج >=1.81.16 <1.83.7 سان ملن ٿيون، پوء انحصار فائل، لائن نمبر، مشاورتي IDs، متاثر ٿيل حد، ۽ مقرر ٿيل ورزن جي رپورٽ ڪري ٿو.
هي هڪ مستحڪم، صرف پڙهڻ لاءِ ريپو چيڪ آهي. اهو ڪسٽمر ڪوڊ تي عمل نٿو ڪري ۽ استحصال پيل لوڊ نه موڪليندو آهي.