Таъсир
LiteLLM осебпазирии муҳими тазриқи SQL-ро дар прокси API раванди тасдиқи калиди [S1] дар бар мегирад. Ин камбуд ба ҳамлагарони номаълум имкон медиҳад, ки аз санҷишҳои амниятӣ гузаранд ва эҳтимолан ба маълумот аз пойгоҳи додаи [S1][S3] дастрасӣ пайдо кунанд.
Сабаби аслӣ
Масъала ҳамчун CWE-89 (SQL Injection) [S1] муайян карда шудааст. Он дар мантиқи калидии санҷиши API ҷузъи LiteLLM Proxy [S2] ҷойгир аст. Ин осебпазирӣ аз безараргардонии нокифояи вуруди дар дархостҳои пойгоҳи додаҳо истифодашавандаи [S1] бармеояд.
Версияҳои зарардида
Версияҳои LiteLLM 1.81.16 то 1.83.6 аз ин осебпазирии [S1] осеб дидаанд.
Ислоҳҳои мушаххас
Барои кам кардани ин осебпазирии [S1] LiteLLM-ро ба версияи 1.83.7 ё навтар навсозӣ кунед.
Чӣ тавр FixVibe онро озмоиш мекунад
FixVibe ҳоло инро дар сканҳои репо GitHub дар бар мегирад. Санҷиш танҳо файлҳои вобастагии анбори ваколатдорро мехонад, аз ҷумла requirements.txt, pyproject.toml, poetry.lock ва Pipfile.lock. Он пинҳои LiteLLM ё маҳдудиятҳои версияро, ки ба диапазони зарардида мувофиқат мекунанд, нишон медиҳад >=1.81.16 <1.83.7, сипас дар бораи файли вобастагӣ, рақами сатр, ID-ҳои машваратӣ, диапазони таъсирдида ва версияи собит хабар медиҳад.
Ин санҷиши репо статикӣ ва танҳо барои хондан аст. Он рамзи муштариро иҷро намекунад ва борҳои истисморро намефиристад.