බලපෑම
LiteLLM එහි ප්රොක්සි API යතුරු සත්යාපන ක්රියාවලිය [S1] හි තීරණාත්මක SQL එන්නත් කිරීමේ අවදානමක් ඇත. මෙම දෝෂය මඟින් අනාරක්ෂිත ප්රහාරකයන්ට ආරක්ෂක පරීක්ෂාවන් මඟ හැරීමට සහ යටින් පවතින දත්ත ගබඩාව වන [S1][S3] වෙතින් දත්ත ප්රවේශ වීමට හෝ පිටකිරීමට ඉඩ සලසයි.
මූල හේතුව
ගැටලුව CWE-89 (SQL Injection) [S1] ලෙස හඳුනාගෙන ඇත. එය LiteLLM ප්රොක්සි සංරචක [S2] හි API යතුරු සත්යාපන තර්කය තුළ පිහිටා ඇත. [S1] දත්ත සමුදා විමසුම්වල භාවිතා වන ආදානය ප්රමාණවත් ලෙස සනීපාරක්ෂාව නොකිරීමෙන් මෙම අවදානම පැන නගී.
බලපෑමට ලක් වූ අනුවාද
LiteLLM අනුවාද 1.81.16 සිට 1.83.6 මෙම අවදානමට ලක්ව ඇත [S1].
කොන්ක්රීට් සවි කිරීම්
මෙම අවදානම අවම කිරීම සඳහා LiteLLM 1.83.7 හෝ ඉහළ අනුවාදයට යාවත්කාලීන කරන්න [S1].
FixVibe ඒ සඳහා පරීක්ෂා කරන ආකාරය
FixVibe දැන් මෙය GitHub repo ස්කෑන් තුළ ඇතුළත් වේ. චෙක්පත කියවන්නේ requirements.txt, pyproject.toml, poetry.lock, සහ Pipfile.lock ඇතුළුව බලයලත් ගබඩා පරායත්ත ගොනු පමණි. එය බලපෑමට ලක්වූ >=1.81.16 <1.83.7 පරාසයට ගැලපෙන LiteLLM පින් හෝ අනුවාද සීමාවන් සලකුණු කරයි, ඉන්පසු පරායත්ත ගොනුව, රේඛා අංකය, උපදේශන හැඳුනුම්පත, බලපෑමට ලක් වූ පරාසය සහ ස්ථාවර අනුවාදය වාර්තා කරයි.
මෙය ස්ථිතික, කියවීමට පමණක් repo චෙක්පතකි. එය පාරිභෝගික කේතය ක්රියාත්මක නොකරන අතර සූරාකෑමේ ගෙවීම් යවන්නේ නැත.