Athari
LiteLLM ina hatari kubwa ya kuathiriwa na sindano ya SQL katika mchakato wake wa uthibitishaji wa ufunguo wa Proksi API [S1]. Hitilafu hii huruhusu wavamizi ambao hawajaidhinishwa kukwepa ukaguzi wa usalama na uwezekano wa kufikia au kupenyeza data kutoka kwa hifadhidata ya msingi [S1][S3].
Chanzo Chanzo
Tatizo limetambuliwa kama CWE-89 (SQL Injection) [S1]. Iko katika mantiki ya uthibitishaji wa ufunguo wa API ya kipengele cha Wakala wa LiteLLM [S2]. Athari hii inatokana na kutosafisha kwa kutosha kwa ingizo linalotumika katika hoja za hifadhidata [S1].
Matoleo Yanayoathiriwa
Matoleo ya LiteLLM 1.81.16 hadi 1.83.6 yameathiriwa na athari hii [S1].
Marekebisho ya Zege
Sasisha LiteLLM iwe toleo la 1.83.7 au toleo jipya zaidi ili kupunguza athari hii [S1].
Jinsi FixVibe inavyoifanyia majaribio
FixVibe sasa inajumuisha hii katika uchanganuzi wa repo wa GitHub. Hundi husoma faili za utegemezi za hazina pekee, zikiwemo requirements.txt, pyproject.toml, poetry.lock, na Pipfile.lock. Inaangazia pini za LiteLLM au vizuizi vya toleo vinavyolingana na safu iliyoathiriwa ya >=1.81.16 <1.83.7, kisha inaripoti faili tegemezi, nambari ya laini, vitambulisho vya ushauri, safu iliyoathiriwa na toleo lisilobadilika.
Huu ni ukaguzi tuli, wa kusoma-tu repo. Haitekelezi msimbo wa mteja na haitumii mizigo ya unyonyaji.