Ta'sir
LiteLLM proksi API kalitini tekshirish jarayonida [S1] da muhim SQL in'ektsiya zaifligini o'z ichiga oladi. Ushbu kamchilik autentifikatsiya qilinmagan tajovuzkorlarga xavfsizlik tekshiruvlarini chetlab o'tishga va asosiy [S1][S3] ma'lumotlar bazasidan ma'lumotlarga potentsial kirish yoki olib tashlash imkonini beradi.
Asosiy sabab
Muammo CWE-89 (SQL Injection) [S1] sifatida aniqlangan. U LiteLLM Proksi komponentining [S2] API kalit tekshirish mantiqida joylashgan. Zaiflik [S1] ma'lumotlar bazasi so'rovlarida ishlatiladigan ma'lumotlarning etarli darajada sanitarizatsiya qilinmaganligidan kelib chiqadi.
Ta'sir qilingan versiyalar
LiteLLM versiyalari 1.81.16 dan 1.83.6gacha [S1] ushbu zaiflikdan ta'sirlangan.
Beton tuzatishlar
[S1] zaifligini yumshatish uchun LiteLLM ni 1.83.7 yoki undan yuqori versiyaga yangilang.
FixVibe buni qanday sinovdan o'tkazadi
FixVibe endi buni GitHub repo skanerlariga o‘z ichiga oladi. Tekshirish faqat requirements.txt, pyproject.toml, poetry.lock va Pipfile.lock kabi vakolatli omborga bog'liqlik fayllarini o'qiydi. U ta'sirlangan >=1.81.16 <1.83.7 diapazoniga mos keladigan LiteLLM pinlari yoki versiya cheklovlarini belgilaydi, so'ngra bog'liqlik fayli, qator raqami, maslahat identifikatorlari, ta'sirlangan diapazon va sobit versiya haqida xabar beradi.
Bu statik, faqat o'qish uchun repo tekshiruvi. U mijoz kodini bajarmaydi va ekspluatatsiya yuklarini yubormaydi.