Täsir
LiteLLM, [S1] proksi API açary barlamak prosesinde möhüm SQL sanjym gowşaklygyny öz içine alýar. Bu kemçilik, tassyklanmadyk hüjümçilere howpsuzlyk barlaglaryndan aýlanmaga we [S1][S3] esasy maglumatlar bazasyndan maglumatlara girip ýa-da çykarmaga mümkinçilik berýär.
Kök sebäp
Mesele CWE-89 (SQL sanjym) [S1] diýlip kesgitlenildi. LiteLLM Proxy komponenti [S2]-iň API açar tassyklaýyş logikasynda ýerleşýär. Gowşaklyk, [S1] maglumat bazasy talaplarynda ulanylýan girişiň sanitizasiýasyndan gelip çykýar.
Täsirli wersiýalar
LiteLLM wersiýalary 1.81.16 bilen 1.83.6 bu gowşaklyga [S1] täsir edýär.
Beton düzedişler
Bu gowşaklygy azaltmak üçin LiteLLM-i 1.83.7 ýa-da has ýokary wersiýa täzeläň [S1].
FixVibe munuň üçin nädip synag edýär
FixVibe indi muny GitHub repo skanerlerinde öz içine alýar. Çek, diňe requirements.txt, pyproject.toml, poetry.lock we Pipfile.lock ýaly ammar baglylyk faýllaryny okaýar. LiteLLM nokatlaryny ýa-da täsir edilen >=1.81.16 <1.83.7 diapazonyna gabat gelýän wersiýa çäklendirmelerini belleýär, soňra garaşlylyk faýlyny, setir belgisini, maslahat belgilerini, täsir edilen diapazony we kesgitlenen wersiýasyny habar berýär.
Bu statiki, diňe okalýan repo barlag. Müşderi koduny ýerine ýetirmeýär we ekspluatasiýa ýüklerini ibermeýär.